USV-CTF writeup

关于USV-CTF的介绍以及下载地址如下:https://www.vulnhub.com/entry/usv-2016-v101,175/

Difficulty: Beginner/Intermediate
Instructions: The CTF is a virtual machine and has been tested in Virtual Box. It has all required drivers if you want it to run on VMware or KVM (virtio). The network interface of the virtual machine will take it`s IP settings from DHCP.
Flags: There are 7 flags that should be discovered in form of: Country_name Flag: [md5 hash]. In CTF platform of the CTF-USV competition there was a hint available for each flag, but accessing it would imply a penalty. If you need any of those hints to solve the challenge, send me a message on Twitter @gusu_oana and I will be glad to help.

下载完ova之后在VMware中打开,看到登陆界面出现Success就说明是成功的。
按照惯例先用nmap扫描端口:


开了几百个端口,我们先从熟悉的地方入手吧。分析一下:
22端口SSH,80端口HTTP,3129端口Squid(正常应该是3128),3306端口Mysql。
10000以上的端口应该都是做了端口欺骗的。21211端口vsFTP。
我们看到80端口是开放的,尝试访问:

403。查看网页源代码没发现什么特别的,用Burp抓包:

在Response看到一串很奇怪的很像Base64的字符串。把这串字符串进行Base64解码得到:
【Flag1】Croatia Flag: 0c326784214398aeb75044e9cd4c0ebb
接下来看到SSH端口打开了,尝试练一下,发现了登陆的banner:

下面有个字符串:
wDOW0gW/QssEtq5Y3nHX4XlbH/Dnz27qHFhHVpMulJSyDCvex++YCd42tx7HKGgB
在这条龙上还有几个字母:A E S E C B
尾巴上有一串xxxxx0000000xxxxxx
我们可以联想到AES的ECB加密方式,对这个字符串进行解密,密钥是xxxxx0000000xxxxxx:

【Flag2】Italy Flag: 0047449b33fbae830d833721edaef6f1
接下来看3129端口对应的Squid。网站直接打开403,如果使用代理访问呢?使用FoxyProxy插件做个代理:

然后重新访问网站:可以看到出来东西了:

使用nkito对网站进行扫描,也可以使用AWVS进行扫描:
nikto -host 192.168.235.131 -useproxy 192.168.235.131:3129


可以看到有个blog的目录,访问是一个博客:

看到blog下面有个hodor的文件夹,访问:

点一下message,发现有个zip文件下载,解压是一个hodor文件。不知道是什么类型。一个办法是使用Ultraedit打开,看到Hex是FFD8推测是jpg文件,或者是扔到Kali里面用file指令查看文件类型:

修改文件后缀名为.jpg,打开图片:

惯例Base64解码:
【Flag3】Portugal Flag: a2663b23045de56c7u96a406429f733f
在博客的最下方有篇文章要密码:

没什么线索,想办法进行爆破。我们使用CEWL根据网站生成一个字典:
cewl -w 1.txt -m 5 192.168.235.131/blog --proxy_port 3129 --proxy_host 192.168.235.131
mark

生成字典之后就可以用Burp爆破了。这里挂上代理:

这里选上:

然后开始爆破:

爆破出来的密码是Westerosi。

【Flag4】Paraguay Flag: 4761b65f20053674657c7e6186628a29
这里还有几个关键信息:
The mother_of_dragons has a password which is in front of your eyes
She uses the Field Training Preparation for her army.
从第二句话我们可以猜测是有个FTP服务可以进去,第一句话猜测用户名是mother_of_dragons,密码是in front of your eyes。
之前我们看到FTP的端口是21211。

我们把两个文件下载了,打开:
从note.txt中我们可以获取到,博客密码就是她的儿子名字。查了一下名字应该是Drogon,Viserion,Rhaegal,于是尝试用名字进行组合,最后得出密码是RhaegalDrogonViserion。
这个博客是WordPress(http://192.168.235.131/blog/wp-admin/),用户名是mother_of_dragons,密码RhaegalDrogonViserion。
进来之后就各种翻,终于翻到了:

【Flag5】Thailand Flag: 6ad7965d1e05ca98b3efc76dbf9fd733
进来后台之后就考虑提权。将index.php的内容替换成php-reverse-shell(下载地址http://pentestmonkey.net/tools/web-shells/php-reverse-shell)。注意修改ip和端口。

保存后进行nc反弹:

查看目录,看到一个srv的不常见目录,进去之后就看到在http目录下有个reward_flag.txt,打开:

【Flag6】Mongolia Flag: 6b49c13cccd91940f09d79e142108394
还有一个可执行的winterfell_messenger。

用strings看下:

执行这个文件:

也就是说这个执行文件会读取root/message.txt。
先绕过cat这个语句看接下来会做什么。
在linux中cat所在的路径是/usr/bin,环境变量的路径是:

我们制造一个假的cat命令:

输入id:

可以看到现在是以root的权限在执行,这是一个提权工具。
在root目录下ls-al可以看到一个.flag.txt文件,将文件复制出来之后打开:
【Flag7】Somalia Flag: 4a64a575be80f8ffab26b06a958bcf34

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容