HA: Avengers Arsenal

Vulnhub靶场

下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/

背景:

复仇者联盟本来是地球上最强大的英雄,但是如果没有可信赖的武器,有些英雄就不够强大。

目标是收集所有5种最强大的武器:

美队振金盾、雷神之锤、风暴战斧、洛基权杖、亚卡箭、

 

首页炫酷,好评:

 

点击Avengersbook发现是tony的主页

 

对IP进行全端口扫描

 

8191:

 

使用了MongoDB数据库,后续没有用到

 

8000:

 

8089:

找不到信息

 

80端口下:搜索常见的路径

http://192.168.136.172/robots.txt

 

访问该文件夹,发现一个压缩包,打开要密码,试了常见密码无果,怀疑是要信息收集生成密码(一般网页上有姓名、生日等就是要生成字典进行爆破的),

http://192.168.136.172/groot/

  

 

 

 

同时,源码提示Use Stark Information,所以给出的信息可以是要使用的。

 

通过pydictor这款工具生成字典,发现没有成功。

https://github.com/LandGrey/pydictor/blob/master/docs/doc/usage.md

 

fcrackzip -D -p sedb_152621.txt -u hammer.zip

未能成功枚举出来。

 

思考了下,发现该工具主要是针对中国人的姓名、日期习惯规定的,所以找了个适用于外国人的社工字典库。经典的cupp试试,同时它也存在适合国内的cupper。

 

fcrackzip -D -p tony.txt -u hammer.zip

 

密码为:Stark12008

 

还要密码

再次尝试上面两个密码文件爆破,pdf爆破利用pdfcrack

pdfcrack -f mjlonir.pdf -w tony.txt

 

成功获取到雷神之锤的flag

Mjølnir:{4A3232C59ECDA21AC71BEBE3B329BF36}

 

 

 

 

目录扫描发现的路径:

http://192.168.136.172/.git/

使用.git工具抓取下,发现获取到的数据与访问的存在区别,下载的文件没有想要的flag。

 

 

 

 

是对其他靶机的介绍与分类

 

访问目录,依次访问查找有用信息

 

发现了除了上面之外的链接

http://192.168.136.172/.git/logs/HEAD

 

https://github.com/Hackingzone/hackingarticles

 

点击updated

 

Base64加密

 

美队振金盾的falg:

Captain America\’s Shield:{061786D9A8BB89A2FE745DD26FE2E13C}

  

 

 

通过目录扫描发现的

http://192.168.136.172/images/

 

6.gif总是显得格格不入

 

怀疑隐写,却不是。

17.jpeg,存在二维码,有戏

 

打开17.jpeg是个二维码,读取是spammimic

度娘第一条,http://www.spammimic.com

spammimic是一种加密的方式

 

那要破解的数据呢,接着翻

尝试下目录

 

http://192.168.136.172/spammimic/scepter.txt

 

http://www.spammimic.com往下拉,选择空格

 

洛基权杖的flag

Scepter:{469F1394A349DCF8A742653CE093FA80}

 

 

 

目录扫描的结果验证完后,开始查看网页的源码,查找信息

view-source:http://192.168.136.172/

 

发现存在跳转

http://192.168.136.172/ravagers.html

 

Hex解密

a g e n t : a v e n g e r s

这就和8000端口的登录界面相切合了呀

登录成功,发现是个没接触过的管理平台

百度百科的介绍

 

左点点右点点:发现了个上传点

尝试上传webshell:

 

发现上传的文件直接保存在tmp下

通过谷歌查下该程序的漏洞

https://github.com/TBGSecurity/splunk_shells

https://bbs.mayidui.net/t3017.html

利用该poc

 

由于该poc是用来模拟人为的登录,上传应用包来达到反弹shell的目的,可能由于版本的原因(登录进来后正式版试用已结束,必须修改为免费版),会卡在这里。

 

只能自己将下面生成的这个文件包上传,从而反弹shell。成功上传会出现shell-app的样式(如上)

 

 

 

成功反弹shell,并修改原本的poc,仅保留生成shell包的部分。

 

由于不是交互式shell,利用python重新反回交互式shell

python -c “import pty;pty.spawn(\’/bin/bash\’);”

 

由于我们登录进来的密码是从亚卡箭处的跳转找到的,所以该权限下应该是能够获取亚卡箭的flag的。

通过搜索拥有查看权限的文件

find -name *yaka* 2>/dev/null

 

查看txt

 

通过将该文件copy到网页将其下载

 

给予下载权限

 

获得亚卡箭的flag:

Yaka Arrow:{74E57403424607145B9B77809DEB49D0}

 

 

 

 

 

 

剩下最后一个肯定是提权在root下获取

尝试Passwd,但passwd 不可写

 

尝试利用suid提权

find / -user root -perm -4000 -print 2>/dev/null

 

在opt下存在,opt正好是yaka_flag的路径

运行这个ignite

 

这不就是ifconfig吗

hd /opt/ignite

 

 

 反编译可以看见system运行ifconfig

通过path改变ifconfig 的位置

echo “/bin/bash” >/tmp/ifconfig

chmod +x /tmp/ifconfig

export PATH=/tmp:$PATH

/opt/ignite

查看root下文件

 

风暴战斧的falg

Storm Breaker:{0C683E44D2F04C6F62B99E87A38CF9CC}

 end.

版权声明:本文为Ly-Dargo原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/Ly-Dargo/p/12668159.html