文章來(lái)源：合天網(wǎng)安實(shí)驗(yàn)室

原文連接：https://www.hetianlab.com/specialized/20201112110808

描述：這是一個(gè)中等難度的取證挑戰(zhàn)環(huán)境，通過(guò)網(wǎng)絡(luò)取證調(diào)查方法和工具，找到關(guān)鍵證據(jù)獲取flag。
目標(biāo)：獲得4個(gè)flag
靶機(jī)下載地址：https://www.vulnhub.com/entry/ha-forensics,570/
0x1 基本信息收集
確定目標(biāo)主機(jī)IP
使用nmap 掃描

排除網(wǎng)絡(luò)內(nèi)其他的ip，10.1.1.152就是目標(biāo)機(jī)器
使用nmap掃描主機(jī)更加詳細(xì)的信息

可以把掃描處理的信息記錄下來(lái)
目標(biāo)開(kāi)放的端口：22、80端口，服務(wù)有：ssh服務(wù)和http服務(wù)。
0x2、收集網(wǎng)站信息
瀏覽目標(biāo)網(wǎng)站看看可以獲取哪些信息

網(wǎng)頁(yè)上有四張圖，還有一些描述文字。點(diǎn)擊"Click here to get flag!" 試試

有一張gif圖片?？梢园丫W(wǎng)站的圖片收集 一下，放到一個(gè)文件夾。既然是取證，不要放過(guò)任何蛛絲馬跡

看看網(wǎng)站源代碼里面有什么吧：

我們發(fā)現(xiàn)有一個(gè)images的目錄，訪(fǎng)問(wèn)試試

發(fā)現(xiàn)有多張圖片，除了網(wǎng)頁(yè)上顯示的幾張之外，還有一個(gè)"dna.jpg"和"fingerprint.jpg"的圖片，同樣把它們下載下來(lái)。
這個(gè)"fingerprint.jpg" 看起來(lái)是個(gè)暗示，我們看看圖片的信息。

直接file查看文件信息，發(fā)現(xiàn)exif信息里面存在 flag，這樣第一個(gè)flag就到手了
別的圖片也可以看一下：

好像沒(méi)啥東西。
我們繼續(xù)對(duì)網(wǎng)站下手，試試掃描網(wǎng)站文件和目錄

dirb除了可以?huà)呙枘夸浿?，還可以?huà)呙柚付ㄎ募缶Y的方式來(lái)掃描文件，比如我們可以?huà)呙枋欠翊嬖趥浞菸募?lèi)的，比如.backup、.git、.txt什么的

發(fā)現(xiàn)一個(gè)txt文件，看看是什么內(nèi)容

"tips.txt"中記錄了兩個(gè)文件路徑，訪(fǎng)問(wèn)看看

igolder目錄下有一個(gè)文件，我們下載下來(lái)，zip文件也下載下來(lái)

0x3、文件信息收集
打開(kāi)"clue.txt"看看

應(yīng)該是一個(gè)PGP密鑰，還有一部分PGP加密的消息
再看看zip文件

zip文件似乎被加密了。密碼應(yīng)該是PGP密鑰里面。
我們可以拿到在線(xiàn)PGP解密網(wǎng)站上解密一下那串消息。
當(dāng)我搜索 PGP在線(xiàn)解密的時(shí)候出來(lái)的就是 igolder這個(gè)網(wǎng)站

我們把PGP私鑰和消息粘貼進(jìn)去，解密出來(lái)是一個(gè)提示：

提示說(shuō)：取證人員忘記密碼了。但是記得是6位數(shù)，前三位是"for",后三位是純數(shù)字。
既然這樣我們只能暴力猜解了。我們可以先用"crunch"工具生成字典，然后用"fcrackzip"去破解zip文件

解出來(lái)密碼是"for007"，然后解壓文件

有兩個(gè)文件，一個(gè)是pdf文件，一個(gè)是dmp文件，從名字來(lái)看，是windows的lsass進(jìn)程的內(nèi)存轉(zhuǎn)儲(chǔ)文件。
先打開(kāi)pdf文件看看

找到第二個(gè)flag了。
這里我們可以用mimikatz工具檢查dump文件

可以發(fā)現(xiàn)有兩個(gè)用戶(hù)，一個(gè)是jasoos，一個(gè)是raj，mimikatz沒(méi)有直接讀取出密碼明文，我們可以試試破解NT Hash，用John the Ripper 工具試試

emm，很慢，我們也可以找一個(gè)在線(xiàn)網(wǎng)站破解

快多了，一下子就出來(lái)了。
0x4、目標(biāo)主機(jī)信息收集
NT hash解密出來(lái)了。但是目標(biāo)機(jī)器是一個(gè)Linux，開(kāi)放了22端口。難道就是用的這個(gè)密碼嗎？
試一試吧，為了方便后滲透，這里我們使用msf里面的ssh_login模塊

可以看到登錄成功了。我們可以用session -u 升級(jí)成一個(gè)meterpreter會(huì)話(huà)

我們發(fā)現(xiàn)目標(biāo)主機(jī)上有多個(gè)網(wǎng)絡(luò)連接

0x5、橫向滲透
我們利用msf后滲透模塊的路由添加功能，添加網(wǎng)絡(luò)路由，然后對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描

然后探測(cè)一下目標(biāo)主機(jī)

發(fā)現(xiàn)一臺(tái)目標(biāo)機(jī)器 172.17.0.2
接著對(duì)目標(biāo)進(jìn)行一下端口掃描

發(fā)現(xiàn)目標(biāo)開(kāi)放了21端口。我們可以試試ftp登錄

發(fā)現(xiàn)可以使用匿名登錄，我們?cè)囋嚨卿浀絝tp中。先切換到目標(biāo)主機(jī)的shell中

但是這個(gè)shell有點(diǎn)難用，我們可以調(diào)用python實(shí)現(xiàn)一個(gè)友好一點(diǎn)的shell，然后用匿名賬號(hào)登錄到ftp

看看ftp中都有什么文件

里面有一個(gè)pub目錄，目錄中有一個(gè)saboot.001的文件，我們把它下載下來(lái)

然后把這個(gè)文件下載到我們自己的機(jī)器上

下載下來(lái)后，看一下文件的信息

看起來(lái)是一個(gè)磁盤(pán)鏡像文件。我們可以用autospy加載文件進(jìn)行分析。
0x6、磁盤(pán)取證分析
在Kali中找到autospy

打開(kāi)軟件然后加載 saboot.001文件，新建case過(guò)程就一一詳細(xì)說(shuō)明了

把鏡像文件加載進(jìn)來(lái)：

添加完成之后，點(diǎn)分析文件

然后我們發(fā)現(xiàn)有一些文件

發(fā)現(xiàn)一個(gè)flag3.txt打開(kāi)看看

第三個(gè)flag到手
還有一個(gè)creds.txt的文件，我們打開(kāi)看看是什么

看起來(lái)像一串被加密的字符串，有點(diǎn)像base64編碼的
試試解密

解密出來(lái)是“jeenaliisagoodgirl”
然后這個(gè)saboot.001就找不到其他有價(jià)值的信息了。
當(dāng)然也可以使用FTK Imager之類(lèi)的軟件加載磁盤(pán)鏡像也是可以的

0x7、目標(biāo)主機(jī)分析
我們?cè)俅位氐侥繕?biāo)主機(jī)，看看目標(biāo)主機(jī)還有什么線(xiàn)索
目前我們得到的目標(biāo)主機(jī)shell是一個(gè)普通用戶(hù)

看看是否還有其他用戶(hù)

發(fā)現(xiàn)一個(gè) forensic用戶(hù)，進(jìn)去看看

沒(méi)有發(fā)現(xiàn)什么有價(jià)值的線(xiàn)索。
看看root用戶(hù)下面有什么？

發(fā)現(xiàn)沒(méi)有權(quán)限查看。

sudo也不行
試試找找suid程序

發(fā)現(xiàn)沒(méi)有可利用的。
試試切換到forensic用戶(hù)，嘗試用jeenaliisagoodgirl這個(gè)密碼

發(fā)現(xiàn)成功了
試試這個(gè)用戶(hù)是否有sudo權(quán)限

發(fā)現(xiàn)是可以的。而且可以執(zhí)行命令的路徑有/sbin/ /bin這種。那么就可以直接sudo 查看root目錄中的文件了

成功得到第四個(gè)flag
至此，四個(gè)flag都到手了。成功完成了我們的任務(wù)。