渗透测试实验4：CTF实践

实验相关

实验目的：

通过对目标靶机的渗透过程，了解CTF竞赛模式，理解CTF涵盖的知识范围，如MISC、PPC、WEB等，通过实践，加强团队协作能力，掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。

系统环境：

Kali Linux 2、WebDeveloper靶机来源：https://www.vulnhub.com/

实验原理：

1、什么是CTF
CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”。
1.1 CTF竞赛模式
（1）解题模式（Jeopardy）在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
（2）攻防模式（Attack-Defense）在攻防模式CTF赛制中，参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况，最终也以得分直接分出胜负，是一种竞争激烈，具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中，不仅仅是比参赛队员的智力和技术，也比体力（因为比赛一般都会持续48小时及以上），同时也比团队之间的分工配合与合作。
（3）混合模式（Mix）结合了解题模式与攻防模式的CTF赛制，比如参赛队伍通过解题可以获取一些初始分数，然后通过攻防对抗进行得分增减的零和游戏，最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
1.2 CTF各大题型简介
MISC（安全杂项）
全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等，覆盖面比较广。我们平时看到的社工类题目；给你一个流量包让你分析的题目；取证分析题目，都属于这类题目。主要考查参赛选手的各种基础综合知识，考察范围比较广。
PPC（编程类）
全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写，批量处理等，有时候用编程去处理问题，会方便的多。当然PPC相比ACM来说，还是较为容易的。至于编程语言嘛，推荐使用Python来尝试。这部分主要考察选手的快速编程能力。
CRYPTO（密码学）
全称Cryptography。题目考察各种加解密技术，包括古典加密技术、现代加密技术甚至出题者自创加密技术。这样的题目汇集的最多。这部分主要考查参赛选手密码学相关知识点。
REVERSE（逆向）
题目涉及到软件逆向、破解技术等，要求有较强的反汇编、反编译扎实功底。需要掌握汇编，堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。此类题目也是线下比赛的考察重点。
STEGA（隐写）
全称Steganography。题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛选手获取。载体就是图片、音频、视频等，可能是修改了这些载体来隐藏flag，也可能将flag隐藏在这些载体的二进制空白位置。有时候需要你侦探精神足够的强，才能发现。此类题目主要考查参赛选手的对各种隐写工具、隐写算法的熟悉程度。
PWN（溢出）
PWN在黑客俚语中代表着攻破，取得权限，在CTF比赛中它代表着溢出类的题目，其中常见类型溢出漏洞有栈溢出、堆溢出。在CTF比赛中，线上比赛会有，但是比例不会太重，进入线下比赛，逆向和溢出则是战队实力的关键。主要考察参数选手漏洞挖掘和利用能力。
WEB（web类）
WEB应用在今天越来越广泛，也是CTF夺旗竞赛中的主要题型，题目涉及到常见的Web漏洞，诸如注入、XSS、文件包含、代码审计、上传等漏洞。这些题目都不是简单的注入、上传题目，至少会有一层的安全过滤，需要选手想办法绕过。且Web题目是国内比较多也是大家比较喜欢的题目。因为大多数人开始安全都是从web*站开始的。

实验步骤和内容：

目的：获取靶机Web Developer 文件/root/flag.txt中flag。
基本思路：本网段IP地址存活扫描(netdiscover)；网络扫描(Nmap)；浏览HTTP 服务；网站目录枚举(Dirb)；发现数据包文件 “cap”；分析 “cap” 文件，找到网站管理后台账号密码；插件利用（有漏洞）；利用漏洞获得服务器账号密码；SSH 远程登录服务器；tcpdump另类应用。

详细操作：

1、发现目标 (netdiscover)，找到WebDeveloper的IP地址。
将两个虚拟机都打开后，打开kali的nmap，使用命令netdiscover
随后就会出现下图：
这里需要给大家说明一下四个IP都代表了什么：第一个代表了物理机IP，第二个代表网卡，第三个代表了另一台虚拟机，既你要入侵的虚拟机的IP，而第四个则是IP上限。所以这里我们的目标IP是第三个。这里同样可以用另一种命令来扫描：

用上图第一行的命令扫描同一网段下的IP，扫完后出现了五个IP地址，其中四个和上图一样就不在赘述，注意多出来的一个：192.168.74.128。这是你现在使用的这台虚拟机的IP地址。
2、:利用NMAP扫描目标主机，发现目标主机端口开放、服务情况，说明目标提供的服务有哪些？
这里就要用到下面第一行的命令，来扫描目标IP主机：

如图可见该主机开放的两个端口：ssh和http。
SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。而http则是一个简单的请求-响应协议，它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出；而消息内容则具有一个类似MIME的格式。
这里注意ssh协议，这将是之后远程控制的主角。
3、若目标主机提供了HTTP服务，尝试利用浏览器访问目标网站。
打开浏览器，直接在网址一栏输入目标IP即可进入目标网站，在进入网站后，注意最下面一行小字中的一个单词：WordPress。
给不知道的朋友说明一下：WordPress是一个用于网站开发的CMS模板，这在之后要用到。
4、利用whatweb探测目标网站使用的CMS模板。
利用whatweb，输入http：//（目标IP）即可探测：
这里同样也可以发现目标的CMS：WordPress。
5、网络搜索wpscan，简要说明其功能。

6、使用 Dirb 爆破网站目录。（Dirb 是一个专门用于爆破目录的工具，在 Kali 中默认已经安装，类似工具还有国外的patator，dirsearch，DirBuster， 国内的御剑）找到一个似乎和网络流量有关的目录（路径）。

这里爆破后的内容过长，我就分两图发上吧。
注意第一张图的下面的网址中的一个单词：ipdata，既IP数据。这便标志着该网址就是和网络流量有关的目录。
7、浏览器访问该目录（路径），发现一个cap文件。

直接在浏览器中输入上面的网址，就可以进入目标网站。随后就是下方第二个cap文件。
8、利用Wireshark分析该数据包，分析TCP数据流。找到什么有用的信息？

利用Wireshark打开该数据包，随后在筛选栏内输入：http.request.method == POST 既查找目标账号密码，发现上图的数据。蓝条内容的log及下方的pwd，就是账号密码。
9、利用上一步得到的信息进入网站后台。
在网站中输入上图网址，进入目标网站后台，随后输入步骤8得到的账号密码，进入网站后台。
10、利用该CMS存在的（插件Plugin）漏洞。

进入网站后，通过右侧搜索栏进入插件的下载区。选择Add New既下载新插件。搜索file manage：

下载该插件。
11、利用该插件漏洞提权。

进入该插件，按照上图进入wp.config.php：

找到操作系统的用户名、密码。
12、SSH登录服务器
尝试利用上一步获得的访问数据库的用户名和密码连接远程服务器。

进入nmap，输入ssh按两下Tab，随后输入账号密码，这里注意密码是隐藏输入的。
输入成功后会出现上图的界面。
13、尝试查看/root/flag.txt

按照上图输入指定命令后，便可以用两种方法去查看文件。结果…………，嗯，根本访问不了啊！！！
14、既然无权访问，那咱们就提升一下权限吧。按照下图逐步输入命令：

从图一到下图的命令左右依次是：
查看当前身份可执行的命令，发现可以root权限执行tcpdump命令
创建攻击文件
写入shellcode
赋予可执行权限
利用tcpdump执行任意命令
以上命令，就可以提升权限，访问目标文件了，活得flag了。