渗透 | BASSAMCTF:1过程记录

2025年2月22日00:18:30评论7 views字数 2231阅读7分26秒阅读模式

点击上方的“蓝字”关注我们吧！

渗透 | BASSAMCTF:1过程记录

靶场介绍

渗透 | BASSAMCTF:1过程记录

下载地址

https ://download.vulnhub.com/bassam/bassamctf.rar

渗透 | BASSAMCTF:1过程记录

靶场级别

该靶场是一个定位为简单的渗透测试靶场。

适合人群：新手入门。

该靶场下载完成后可以工作在vmware或者virtualbox上

渗透 | BASSAMCTF:1过程记录

靶场成功启动截图

渗透 | BASSAMCTF:1过程记录

渗透 | BASSAMCTF:1过程记录

渗透过程

渗透 | BASSAMCTF:1过程记录

探测局域网内存活主机确定目标

nmap -sP 10.131.1.208/24

渗透 | BASSAMCTF:1过程记录

因为扫描结果中返回了vmware虚拟地址所以可以确定目标的IP为：10.131.1.145

渗透 | BASSAMCTF:1过程记录

使用nmap探测目标主机开放的端口

nmap -T4 -A -v 10.131.1.145

渗透 | BASSAMCTF:1过程记录

开放了22和80端口对应的服务为ssh,http，并且可以看到使用了Apache 2.4.29(ubuntu),运行在 linux 4x|5x

渗透 | BASSAMCTF:1过程记录

使用九头蛇对目标22好端口进行爆破

hydra -l root -P /usr/share/wordlists/rockyou.txt -f -vV -t 4 ssh://10.131.1.145

渗透 | BASSAMCTF:1过程记录

渗透 | BASSAMCTF:1过程记录

使用浏览器查看http提供的服务

渗透 | BASSAMCTF:1过程记录

在网页源代码中发现了一个注释：bassam.ctf
尝试访问该文件：

渗透 | BASSAMCTF:1过程记录

发现没有找到该文件，说明这个注释并不是一个文件，除了文件之外，猜测可能是一个域名，将其添加到hosts文件中进行域名访问：

vim etc/hosts

渗透 | BASSAMCTF:1过程记录

渗透 | BASSAMCTF:1过程记录

发现一个简单的页面并没有提供什么功能服务，尝试进行子域名挖掘以及目录爆破：

子域名挖掘

gobuster vhost -w dic.txt -u http://bassam.ctf/ |grep "200"

渗透 | BASSAMCTF:1过程记录

找到了一个子域名：welcome.bassam.ctf

进行目录爆破

python3 dirsearch.py -u http://bassam.ctf

渗透 | BASSAMCTF:1过程记录

只扫出来一个index.html，尝试访问：

渗透 | BASSAMCTF:1过程记录

并没有出现什么新的东西。

渗透 | BASSAMCTF:1过程记录

对子域名个进行探测，寻找更多有用的信息

将刚刚找到的子域名添加到hosts文件中

渗透 | BASSAMCTF:1过程记录

使用浏览器就行访问

渗透 | BASSAMCTF:1过程记录

发现这里也有一个注释：open your eyes
对该域名进行目录爆破

python3 dirsearch.py -u http://welcome.bassam.ctf

渗透 | BASSAMCTF:1过程记录

爆破出来四个目录，逐个访问，看看网页中有没有什么线索

config.php

渗透 | BASSAMCTF:1过程记录

index.html

渗透 | BASSAMCTF:1过程记录

index.php

渗透 | BASSAMCTF:1过程记录

index.php/login

渗透 | BASSAMCTF:1过程记录

在这几个目录中发现index.php提供了一个下载的功能，让提供一个url，猜测可能存在任意文件下载漏洞，在输入框中输入index.php

渗透 | BASSAMCTF:1过程记录

发现可以下载，将刚刚扫到的几个文件全部下载下来，看看里面有没有什么有用的信息

发现config.php中

渗透 | BASSAMCTF:1过程记录

发现这里存在用户名和密码，但是网页中没有找到登录框，但是服务器开放了ssh服务，尝试使用该用户名密码进行ssh登录：
ssh [email protected]

渗透 | BASSAMCTF:1过程记录

发现可以成功的登录，看看该用户能不能使用 sudo命令：
sudo -l

渗透 | BASSAMCTF:1过程记录

发现不可以使用，但是说了kira用户可以使用，看看能不能找到该用户的登录密码，查看一下历史命令：

渗透 | BASSAMCTF:1过程记录

发现该用户曾经执行的几条历史命令中查看了一个文件MySecretPassword
经过对该用户能查看的目录进行查找，发现了几个有用的文件：
/PassProgram/decoder;/PassProgram/encoder;/var/www/ctf/MySecretPassword
通过查看文件类型
file decoder

渗透 | BASSAMCTF:1过程记录

发现前两个文件应该是加解密的可执行程序
file /var/www/ctf/MySecretPassword

渗透 | BASSAMCTF:1过程记录

发现MySecretPassword是一个ASCII类型的文件，可能是使用了上面的加密程序进行的加密，尝试使用解密程序进行解密：
./decoder /var/www/ctf/MySecretPassword

渗透 | BASSAMCTF:1过程记录

可以得到kira的密码尝试登陆

渗透 | BASSAMCTF:1过程记录

成功的登录到该用户，执行sudo命令看看能否执行：
sudo -l

渗透 | BASSAMCTF:1过程记录

发现可以执行，并且有提示，让尝试执行/home/kira/test.sh这个文件
尝试执行
./test.sh

渗透 | BASSAMCTF:1过程记录

发现报错了，看一下这个文件里面有什么
cat test.sh

渗透 | BASSAMCTF:1过程记录

发现并没有什么，但是刚刚的提示中包括了bassam，尝试使用该用户执行test.sh
sudo -u bassam ./test.sh bash

渗透 | BASSAMCTF:1过程记录

发现用该用户执行之后可以直接拿到bassam用户的权限
查看bassam家目录中有什么

渗透 | BASSAMCTF:1过程记录

发现里面有一个down.sh，查看里面的内容

渗透 | BASSAMCTF:1过程记录

使用了curl命令访问访问http://mywebsite.test/script.sh并直接执行，通过修改hosts文件，让其访问我们的攻击机，并直接执行反弹shell
修改hosts文件

渗透 | BASSAMCTF:1过程记录

使用攻击机开启80端口并创建script.sh

渗透 | BASSAMCTF:1过程记录

script.sh

渗透 | BASSAMCTF:1过程记录

监听本地7777端口，并回到ssh执行down.sh

渗透 | BASSAMCTF:1过程记录

成功反弹回shell

渗透 | BASSAMCTF:1过程记录

end

往期回顾

工具推荐 | 一款功能强大的内网渗透工具

基础知识篇 | PythonSSTI漏洞的总结

SSTI模板注入与XXE注入漏洞的挖掘和利用

漏洞复现 | Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）

原文始发于微信公众号（红队蓝军）：渗透 | BASSAMCTF:1过程记录

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2025年2月22日00:18:30
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
渗透 | BASSAMCTF:1过程记录https://cn-sec.com/archives/874662.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码