I denne artikel vil vi løse en Capture the Flag (CTF)-udfordring, som blev lagt ud på VulnHub-webstedet af en forfatter ved navn Duca. Ifølge den beskrivelse, som forfatteren har givet, er dette en CTF på mellemniveau. Målet med denne CTF er at komme til roden af maskinen og læse filen flag.txt.
Du kan tjekke mine tidligere artikler for flere CTF-udfordringer. Jeg har også givet en URL, der kan downloades, til denne CTF.
Du kan downloade den virtuelle maskine (VM) og køre den på VirtualBox. Den downloadbare URL til torrent er også tilgængelig for denne VM og er blevet tilføjet i referenceafsnittet i denne artikel.
For dem, der ikke kender stedet, er VulnHub et velkendt websted for sikkerhedsforskere. Webstedet har til formål at give brugerne en måde at lære og øve deres hackerfærdigheder på gennem en række udfordringer i et sikkert og lovligt miljø. Du kan downloade sårbare maskiner fra dette websted og forsøge at udnytte dem. Der er mange andre udfordrende CTF-øvelser tilgængelige på vulnhub.com, og jeg anbefaler stærkt, at du prøver dem, da det er en god måde at skærpe dine færdigheder og lære nye teknikker i et sikkert miljø.
Bemærk venligst: For alle disse maskiner har jeg brugt Oracle VirtualBox til at køre den downloadede maskine. Jeg bruger Kali Linux som en angribermaskine til at løse denne CTF. De anvendte teknikker er udelukkende til uddannelsesformål, og jeg er ikke ansvarlig, hvis de anførte teknikker anvendes mod andre mål.
Trinene
Sammenfatningen af de trin, der er involveret i løsningen af denne CTF, er angivet nedenfor:
- Vi starter med at få offermaskinens IP-adresse ved hjælp af netdiscover-værktøjet
- Scan åbne porte ved hjælp af nmap-scanneren
- Tælling af webapplikationen og identifikation af (Læs mere…)