Vulnhub靶机实战之HA: Forensics

  • A+
所属分类:安全文章
Vulnhub靶机实战之HA: Forensics
亲爱的,关注我吧
Vulnhub靶机实战之HA: Forensics

12/3

本文字数2161

图片流量消耗预警!

来和我一起阅读吧

描述:这是一个中等难度的取证挑战环境,通过网络取证调查方法和工具,找到关键证据获取flag

目标:获得4个flag

靶机下载地址:https://www.vulnhub.com/entry/ha-forensics,570/


本文涉及知识点实操练习--Vulnhub渗透测试实战靶场Drupal 

https://www.hetianlab.com/expc.do?ec=ECIDb885-0a46-4953-8c62-d915348eae0f&pk_campaign=weixin-wemedia

靶机共有5个flag,通过信息收集、找漏洞、提权去获得最终/root下的flag。

0x1 基本信息收集

确定目标主机IP

使用nmap 扫描

Vulnhub靶机实战之HA: Forensics
image-20201105162717223

排除网络内其他的ip10.1.1.152就是目标机器

使用nmap扫描主机更加详细的信息

Vulnhub靶机实战之HA: Forensics
image-20201105162941053

可以把扫描处理的信息记录下来

目标开放的端口:2280端口,服务有:ssh服务和http服务。

0x2、收集网站信息

浏览目标网站看看可以获取哪些信息

Vulnhub靶机实战之HA: Forensics
image-20201105163204069

网页上有四张图,还有一些描述文字。点击"Click here to get flag!" 试试

Vulnhub靶机实战之HA: Forensics
image-20201105163338207

有一张gif图片。可以把网站的图片收集 一下,放到一个文件夹。既然是取证,不要放过任何蛛丝马迹

Vulnhub靶机实战之HA: Forensics
image-20201105163651855

看看网站源代码里面有什么吧:

Vulnhub靶机实战之HA: Forensics
image-20201105163736266

我们发现有一个images的目录,访问试试

Vulnhub靶机实战之HA: Forensics
image-20201105163947838

发现有多张图片,除了网页上显示的几张之外,还有一个"dna.jpg""fingerprint.jpg"的图片,同样把它们下载下来。

这个"fingerprint.jpg" 看起来是个暗示,我们看看图片的信息。

Vulnhub靶机实战之HA: Forensics
image-20201105164719909

直接file查看文件信息,发现exif信息里面存在 flag,这样第一个flag就到手了

别的图片也可以看一下:

Vulnhub靶机实战之HA: Forensics
image-20201106124758843

好像没啥东西。

我们继续对网站下手,试试扫描网站文件和目录

Vulnhub靶机实战之HA: Forensics
image-20201106125103545

dirb除了可以扫描目录之外,还可以扫描指定文件后缀的方式来扫描文件,比如我们可以扫描是否存在备份文件之类的,比如.backup.git.txt什么的

Vulnhub靶机实战之HA: Forensics
image-20201106125304554

发现一个txt文件,看看是什么内容

Vulnhub靶机实战之HA: Forensics
image-20201106125418777

"tips.txt"中记录了两个文件路径,访问看看

Vulnhub靶机实战之HA: Forensics
image-20201106125534423

igolder目录下有一个文件,我们下载下来,zip文件也下载下来

Vulnhub靶机实战之HA: Forensics
image-20201106125615750
0x3、文件信息收集

打开"clue.txt"看看

Vulnhub靶机实战之HA: Forensics
image-20201106125705850
Vulnhub靶机实战之HA: Forensics
image-20201106130041774

应该是一个PGP密钥,还有一部分PGP加密的消息

再看看zip文件

Vulnhub靶机实战之HA: Forensics
image-20201106125751439

zip文件似乎被加密了。密码应该是PGP密钥里面。

我们可以拿到在线PGP解密网站上解密一下那串消息。

当我搜索 PGP在线解密的时候出来的就是 igolder这个网站

Vulnhub靶机实战之HA: Forensics
image-20201106130213617

我们把PGP私钥和消息粘贴进去,解密出来是一个提示:

Vulnhub靶机实战之HA: Forensics
image-20201106130341552

提示说:取证人员忘记密码了。但是记得是6位数,前三位是"for",后三位是纯数字。

既然这样我们只能暴力猜解了。我们可以先用"crunch"工具生成字典,然后用"fcrackzip"去破解zip文件

Vulnhub靶机实战之HA: Forensics
image-20201106131118578
Vulnhub靶机实战之HA: Forensics
image-20201106131209606

解出来密码是"for007",然后解压文件

Vulnhub靶机实战之HA: Forensics
image-20201106131540632

有两个文件,一个是pdf文件,一个是dmp文件,从名字来看,是windowslsass进程的内存转储文件。

先打开pdf文件看看

Vulnhub靶机实战之HA: Forensics
image-20201106131742744

找到第二个flag了。

这里我们可以用mimikatz工具检查dump文件

Vulnhub靶机实战之HA: Forensics
image-20201106133433730
Vulnhub靶机实战之HA: Forensics
image-20201106133535792
Vulnhub靶机实战之HA: Forensics
image-20201106133610778

可以发现有两个用户,一个是jasoos,一个是rajmimikatz没有直接读取出密码明文,我们可以试试破解NT Hash,用John the Ripper 工具试试

Vulnhub靶机实战之HA: Forensics
image-20201106135456622

emm,很慢,我们也可以找一个在线网站破解

Vulnhub靶机实战之HA: Forensics
image-20201106135529943

快多了,一下子就出来了。

0x4、目标主机信息收集

NT hash解密出来了。但是目标机器是一个Linux,开放了22端口。难道就是用的这个密码吗?

试一试吧,为了方便后渗透,这里我们使用msf里面的ssh_login模块

Vulnhub靶机实战之HA: Forensics
image-20201106140300466

可以看到登录成功了。我们可以用session -u 升级成一个meterpreter会话

Vulnhub靶机实战之HA: Forensics
image-20201106140524468

我们发现目标主机上有多个网络连接

Vulnhub靶机实战之HA: Forensics
image-20201106140656545
0x5、横向渗透

我们利用msf后渗透模块的路由添加功能,添加网络路由,然后对目标网络进行扫描

Vulnhub靶机实战之HA: Forensics
image-20201106141113677

然后探测一下目标主机

Vulnhub靶机实战之HA: Forensics
image-20201106141200851

发现一台目标机器 172.17.0.2

接着对目标进行一下端口扫描

Vulnhub靶机实战之HA: Forensics
image-20201106143201694

发现目标开放了21端口。我们可以试试ftp登录

Vulnhub靶机实战之HA: Forensics
image-20201106143319458

发现可以使用匿名登录,我们试试登录到ftp中。先切换到目标主机的shell

Vulnhub靶机实战之HA: Forensics
image-20201106143556803

但是这个shell有点难用,我们可以调用python实现一个友好一点的shell,然后用匿名账号登录到ftp

Vulnhub靶机实战之HA: Forensics
image-20201106143944579

看看ftp中都有什么文件

Vulnhub靶机实战之HA: Forensics
image-20201106144042450

里面有一个pub目录,目录中有一个saboot.001的文件,我们把它下载下来

Vulnhub靶机实战之HA: Forensics
image-20201106144127636

然后把这个文件下载到我们自己的机器上

Vulnhub靶机实战之HA: Forensics
image-20201106144456573
Vulnhub靶机实战之HA: Forensics
image-20201106144510774

下载下来后,看一下文件的信息

Vulnhub靶机实战之HA: Forensics
image-20201106144704788

看起来是一个磁盘镜像文件。我们可以用autospy加载文件进行分析。

0x6、磁盘取证分析

Kali中找到autospy

Vulnhub靶机实战之HA: Forensics
image-20201106144840575

打开软件然后加载 saboot.001文件,新建case过程就一一详细说明了

Vulnhub靶机实战之HA: Forensics
image-20201106145245972
Vulnhub靶机实战之HA: Forensics
image-20201106145442620
Vulnhub靶机实战之HA: Forensics
image-20201106145503515
Vulnhub靶机实战之HA: Forensics
image-20201106145543802

把镜像文件加载进来:

Vulnhub靶机实战之HA: Forensics
image-20201106145609394
Vulnhub靶机实战之HA: Forensics
image-20201106145707624
Vulnhub靶机实战之HA: Forensics
image-20201106145731771

添加完成之后,点分析文件

Vulnhub靶机实战之HA: Forensics
image-20201106145814152
Vulnhub靶机实战之HA: Forensics
image-20201106150226617

然后我们发现有一些文件

Vulnhub靶机实战之HA: Forensics
image-20201106150253228
Vulnhub靶机实战之HA: Forensics
image-20201106150350825

发现一个flag3.txt打开看看

Vulnhub靶机实战之HA: Forensics
image-20201106150431393

第三个flag到手

还有一个creds.txt的文件,我们打开看看是什么

Vulnhub靶机实战之HA: Forensics
image-20201106150525538

看起来像一串被加密的字符串,有点像base64编码的

试试解密

Vulnhub靶机实战之HA: Forensics
image-20201106150642121

解密出来是“jeenaliisagoodgirl”

然后这个saboot.001就找不到其他有价值的信息了。

当然也可以使用FTK Imager之类的软件加载磁盘镜像也是可以的

Vulnhub靶机实战之HA: Forensics
image-20201106163528001
Vulnhub靶机实战之HA: Forensics
image-20201106163044823
0x7、目标主机分析

我们再次回到目标主机,看看目标主机还有什么线索

目前我们得到的目标主机shell是一个普通用户

Vulnhub靶机实战之HA: Forensics
image-20201106151108615

看看是否还有其他用户

Vulnhub靶机实战之HA: Forensics
image-20201106151129721

发现一个 forensic用户,进去看看

Vulnhub靶机实战之HA: Forensics
image-20201106151224335

没有发现什么有价值的线索。

看看root用户下面有什么?

Vulnhub靶机实战之HA: Forensics
image-20201106151307993

发现没有权限查看。

Vulnhub靶机实战之HA: Forensics
image-20201106151442855

sudo也不行

试试找找suid程序

Vulnhub靶机实战之HA: Forensics
image-20201106151751409

发现没有可利用的。

试试切换到forensic用户,尝试用jeenaliisagoodgirl这个密码

Vulnhub靶机实战之HA: Forensics
image-20201106152034288

发现成功了

试试这个用户是否有sudo权限

Vulnhub靶机实战之HA: Forensics
image-20201106152225409

发现是可以的。而且可以执行命令的路径有/sbin/ /bin这种。那么就可以直接sudo 查看root目录中的文件了

Vulnhub靶机实战之HA: Forensics
image-20201106152515067

成功得到第四个flag

至此,四个flag都到手了。成功完成了我们的任务,比如 node 只在原型链污染有接触过一点点,但却没有深入,还是要继续努力。

12/3

欢迎投稿至邮箱:[email protected]

了解稿件投递相关

请点击公众号菜单:【来撩我吧】-原创征集

有才能的你快来投稿吧!

Vulnhub靶机实战之HA: Forensics
快戳“阅读原文”做学习人

本文始发于微信公众号(合天智汇):Vulnhub靶机实战之HA: Forensics

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: