Acid: Reloaded

项目地址:https://download.vulnhub.com/acid/Acid-Reloaded.7z

是一个打包好的镜像文件

注意:导入 vmx 时一定要选择我已移动,否则没网

使用 Nmap 扫描出开放服务及操作系统版本

只有 SSH 服务开发,同时 33447 端口关闭,推测应该要用到端口敲击技术

CTF

Port Knocking

SSH 连接回显,提示 3,2,1

成功开启端口

s

文件隐写

继下面 SQL 注入后发现有一个二进制应用

网上下载它

检查文件类型发现是 PDF

改成 PDF 打开

被嘲讽了,猜测是往隐写方向走的,所以使用 ForeMost 分离文件发现一个 rar 文件夹

里面是一个压缩文件,解压它

查看文件告诉我们方向是对的

使用 BinWalk 识别这个 lol.jpg 文件发现里面还有压缩文件

继续使用 ForeMots 提取出来再解压缩

查看提示说拿到了一个联系人的信息

Avinash.contact 文件内容扔给 AI 分析

该文件是一个Windows联系人文件(.contact),基于XML格式,包含以下信息:

  • 姓名:Avinash
  • 邮箱acid.exploit@gmail.com(标记为首选)
  • 配偶:Makke(标签为wab:Spouse
  • 创建时间:2015-08-23T11:39:18Z
  • 扩展数据:包含一个MAPI属性(PropTag0x3A58101F),其值为Base64编码的二进制数据:AQAAABIAAABOAG8AbwBCAEAAMQAyADMAAAA=

对该Base64字符串解码后得到26字节的二进制数据,解析为:

  • 前8字节:两个32位小端整数 0x000000010x00000012
  • 随后16字节:UTF-16LE编码的字符串 NooB@123
  • 最后2字节:字符串结束符 \0\0

因此,隐藏的字符串为 NooB@123,可能代表密码或其他敏感信息

越权

Be Logical Here(Referer 欺骗)

扫描目录发现一个登录页面

发现他将表单提交到了这个文件

又扫目录发现这个页面

手动伪造一个提交表单后的跳转请求成功绕过

SQL 注入

id(注释符代替空格绕过)

点击跳转按钮来到一个新页面,但是是空白

查看网页源代码发现有 id 传参

SQLMap 梭哈没有梭出来,发现是过滤了空格,使用注释符绕过

1
2
# 使用 tamper 脚本 space2comment:该脚本的作用是将请求中的空格替换为注释符 /**/
sqlmap -u "http://192.168.187.156:33447/bin/l33t_haxor.php?id=1" --dbs --tamper=space2comment --batch

弱口令

SSH

继上面文件隐写后拿到了一个密码,使用 hydra 爆破

1
hydra -L user.txt -p NooB@123 -u 192.168.187.156 ssh

爆破出账号密码为

1
makke: NooB@123

提权

内核 overlayfs 文件系统(CVE-2015-1328)

简单来说,Linux 里有一个叫 overlayfs 的功能,它可以把两个文件夹“叠”在一起,让你同时看到它们的内容,就像一张透明的糖纸盖在另一张纸上

本来这个功能有严格的权限控制——普通用户不能通过它访问 root 用户的文件

但这个漏洞就像糖纸上破了一个洞:当普通用户把一个文件夹叠到另一个文件夹上时,由于内核检查不严,在某些操作下(比如创建特殊文件),系统会误以为这个操作是 root 用户发起的,于是直接放行

攻击者就可以利用这一点,修改只有 root 能改的系统文件(比如密码文件),或者执行高权限程序,从而瞬间把自己变成root