I den här artikeln ska vi lösa en Capture the Flag (CTF)-utmaning som publicerades på webbplatsen VulnHub av en författare vid namn Duca. Enligt den beskrivning som författaren ger är detta en CTF på mellannivå. Målet med denna CTF är att ta sig till roten av maskinen och läsa filen flag.txt.

Du kan kolla mina tidigare artiklar för fler CTF-utmaningar. Jag har också tillhandahållit en nedladdningsbar URL för denna CTF.

Du kan ladda ner den virtuella maskinen (VM) och köra den i VirtualBox. Den nedladdningsbara URL:n för torrent är också tillgänglig för denna VM och har lagts till i referensavsnittet i den här artikeln.

För dem som inte känner till webbplatsen är VulnHub en välkänd webbplats för säkerhetsforskare. Webbplatsen syftar till att ge användarna ett sätt att lära sig och öva sina hackarfärdigheter genom en rad utmaningar i en säker och laglig miljö. Du kan ladda ner sårbara maskiner från den här webbplatsen och försöka utnyttja dem. Det finns många andra utmanande CTF-övningar tillgängliga på vulnhub.com och jag rekommenderar starkt att du försöker dig på dem, eftersom det är ett bra sätt att vässa dina färdigheter och lära dig nya tekniker i en säker miljö.

Bemärk: För alla dessa maskiner har jag använt Oracle VirtualBox för att köra den nedladdade maskinen. Jag använder Kali Linux som en angriparmaskin för att lösa denna CTF. De tekniker som används är enbart i utbildningssyfte, och jag är inte ansvarig om de listade teknikerna används mot andra mål.

Stegen

Sammanfattningen av de steg som ingår i lösningen av den här CTF:

1. Vi börjar med att få fram offermaskinens IP-adress med hjälp av verktyget netdiscover
2. Scanning av öppna portar med hjälp av nmap-scannern
3. Nummerera webbapplikationen och identifiera (Read more…)