VulnHub-DEFCON Toronto: Galahad

靶机地址：https://www.vulnhub.com/entry/defcon-toronto-galahad,194/

靶机难度：初级（CTF）

靶机发布日期：2017年6月1日

靶机描述：

Defcon Toronto于2016年9月主办的在线CTF中使用的其中一种VM，进行了略微修改以适应boot2root的挑战。

信息：总共要收集7个标记，id 0是最后一步。

目标：得到root权限&找到flag.txt

请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：

我们已经找到了此次CTF目标计算机IP地址：192.168.182.144

nmap扫描发现开放了22、80、50000端口...

01是二进制值...翻译后：

For the cuorius out there the binary translates to:WelcomeThis is were the adventure begins -.-DC416 Teambtwno flag here ;(

没啥有用的...

发现前端代码使用firefox API在控制台上打印内容...查看Console可以看到这是ROT-13加密后的值...

flag1{m00nc4ke}n

成功查看到flag1...

显示存在/staff目录...

dirb、nikto和uniscan发现了三个目录...

在staff目录下发现了s.txt和nsa.jpg文件...

应该是base64编码...需要把他解开看看...

or i in $(cat s.txt); do echo -n $i | base64 --decode; done发现类似密码：edward

这边我开始用了各种工具分析，还是没发现jpg有啥..后来找到了steghide隐写工具后，发现了flag2

flag2{M00nface}

还发现了一个URL...  ：/cgi-bin/vault.py?arg=message

继续访问刚给的信息...

拒绝访问nsa.gov？？

用burp suite渗透分析后，使用上面的脚本进行intruder即可找到flag3...

flag3{p0utin3}

发现可以下载文件...下载下来

在admin目录发现enc.zip文件，分析下...

 1. git clone https://github.com/wibiti/uncompyle2 2. cd uncompyle2 3. python setup.py installuncompyle2 enc.pyc > enc.py

这里可以看到pyc文件无法直接阅读...需要用到uncompyle2进行编译py后才可以...（没有的需要安装，安装命令在上面...)

这里，我是服了作者的思维...它的意思是下划线一横代表数量1，例如str2有六横就是数字6，然后二十六个字母表里，数字第六位就是F...

按照我这个思路一路填写即可...

flag{f0urd1g1tz} 

 数得我眼睛疼...

50000？是不是按时flag5？？

禁止访问???

SECURITY THROUGH OBSCURITY 34343434 0d 0a UDP

这里的意思是0x34是4...就是4444...

尝试通过UDP敲端口，但没有成功....

4444:udp 8331:tcp 7331:tcp 31337:tcp 31338:tcp...

这不是最正确的顺序，因为会变...

可以了解到knock敲震方法，如果顺序不对，是不会开门的...敲对会开FTP21端口...

发现21端口打开了...

里面有两个文件...bar.pcap和foo.pcap...流量文件...

检查bar.pcap

flag5{th3fuzz}

第二个foo.pcap文件中找到了第六个标志的线索...

隔离了包含JPEG的数据流后...获得jpeg文件...

是个电厂图，左上角还有uid，看到有个用户名：nitro

看了这个资料我才知道..密码是zeus...

[链接](https://en.wikipedia.org/wiki/Nitro_Zeus)

通过SSH登陆后发现又要玩游戏?????

游戏要求您赢3/5游戏....很坑的是每次都是随机的...

别回来问我怎么过的，一个一个一个无限制试... 我这里也花了时间...

Flag: flag6{s1xfl4gs}Hint: Did you know that Galahad is just one of a few round-table knights?

需要列出所有圆桌骑士的清单，然后对每个骑士进行了DNS查询，才能找到最终的...

先把所有圆桌骑士都统计好...我这边试了很久都执行不下去...

我这里执行不下去了....我放着以后做把...听说不止7个flag...好像有11个flag？？？

虽然只拿了六个flag....还是得继续努力加油，脑补把！！！

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定

要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。

如果觉得这篇文章对你有帮助，可以转发到朋友圈，谢谢小伙伴~

欢迎加入渗透学习交流群，想入群的小伙伴们加我微信，共同进步共同成长！

大余安全

一个全栈渗透小技巧的公众号

原文始发于微信公众号（大余安全）：VulnHub-DEFCON Toronto: Galahad