Neste artigo, vamos resolver um desafio Capture the Flag (CTF) que foi publicado no site do VulnHub por um autor chamado Duca. Conforme a descrição dada pelo autor, este é um CTF de nível intermediário. O objetivo desta CTF é chegar à raiz da máquina e ler o arquivo flag.txt.
Você pode conferir meus artigos anteriores para mais desafios de CTF. Eu também forneci uma URL para download para esta CTF.
Você pode baixar a máquina virtual (VM) e executá-la no VirtualBox. A URL para download da torrent também está disponível para esta VM e foi adicionada na seção de referência deste artigo.
Para aqueles que não conhecem o site, VulnHub é um site bem conhecido para pesquisadores de segurança. O site visa proporcionar aos usuários uma forma de aprender e praticar suas habilidades de hacking através de uma série de desafios em um ambiente seguro e legal. Você pode baixar máquinas vulneráveis a partir deste site e tentar explorá-las. Existem muitos outros exercícios desafiantes de CTF disponíveis no vulnhub.com e sugiro vivamente que os tente, pois é uma boa maneira de aprimorar suas habilidades e aprender novas técnicas em um ambiente seguro.
Por favor note: Para todas essas máquinas, eu usei o Oracle VirtualBox para executar a máquina baixada. Eu estou usando Kali Linux como uma máquina atacante para resolver esta CTF. As técnicas usadas são apenas para fins educacionais, e eu não sou responsável se as técnicas listadas forem usadas contra qualquer outro alvo.
Os passos
O resumo dos passos envolvidos na resolução desta CTF é dado abaixo:
- Comecemos por obter o endereço IP da máquina vítima usando o utilitário netdiscover
- Escanear portas abertas usando o scanner nmap
- Enumerar a aplicação web e identificar (Leia mais…)