Alfa靶机通关笔记 – 作者:程序员1024

ps：小白第一次发文，希望大师傅勿喷emmm

靶场简介

Alfa是vulnhub里面的一个难度中等的靶场，其中涉及工具较多，需要对各类工具的使用以及linux系统的一些技巧熟悉，还涉及到了密码学一些技巧。该靶场主要考点为暴力破解和权限提升。该靶场有两个flag，一个在普通用户下，一个在root用户下，需要提权。

通关步骤

1.nmap检测靶机ip

使用命令：nmap -sP，检测靶机ip

2.nmap检测靶机开放端口

使用命令nmap -sV，检查靶机开放端口以及端口信息。

3.可以发现，靶机存在80端口开放，使用浏览器对80端口进行访问，得到以下界面

4.使用dirsearch对其目录进行扫描，发现敏感目录robots.txt

5.进入txt，发现以下几个目录名

6.尝试访问以上的目录，发现都无法访问。但是在该文档的底部发现特殊编码，从特征能看出是Brainfuck编码

7.使用解秘工具，得到一个目录：/alfa-support

8.访问该目录，得到该页面，由对话可知，用户密码为宠物名字+某个3位数字

9.现在80端口这边暂时没了什么思路，接下来对21端口进行分析。匿名登入ftp（匿名用户：anonymous或FTP，密码为空或FTP）发现一张图片jpg，将它下载下来

10.查看图片jpg，发现是一条狗的图片。联想到上面的对话，可知milo为宠物名

11.使用工具enum4linux进行用户名扫描，获得用户名thomas。命令：enum4linux -a ip

12.通过以上分析可知，用户名为thomas，密码为milo+某个3位数。通过kali自带的字典工具crunch进行字典生成。

13.使用xhydra爆破工具，进行ftp爆破，得到密码为milo666

14.ls查看，发现txt，查看该文件得到第一个flag

15.使用ftp登录，登录发现ftp无法打开txt文件，也无权限下载。ftp远程无意义，改使用ssh登录

16.使用ssh进行登录，用户名密码同上，成功登陆

17.查看靶机开启端口，发现vnc服务端口开启

18.查看后台运行进程，发现vncserver

19.scp命令将.remote_secret文件下载到本地

20.使用ssh隧道穿透技术，通过ssh进行tcp转发，连接靶机，将本地机某个端口转发到远端机的指定端口。

命令：ssh -p 65111 -L 5901:localhost:5901 [email protected]

21.使用vnc工具vncview加载密码文件，并通过tcp转发伪造为本地连接，可以提权到root，并得到第二个flag。

靶场难点

1.靶场检测不到ip（该问题适用于大部分靶场）：我们开始使用nmap扫描时，会发现可能会有无法找到ip的情况。该类问题，首先需要保证靶场和我们的攻击机处于同一网络环境。该类问题可参考该文章：https://harvey-blog.com/Safety/2998。

2.在扫描到敏感目录以后，进入以后会发现特殊编码字符，这里用到了Brainfuck编码，该类编码可以使用工具解码。

3.21端口问题：这里用到了ftp匿名登录的方法。ftp匿名登录即匿名文件传输，该方法能够使用户与远程主机建立连接并以匿名的身份从远程主机上拷贝文件，而不必是该远程主机的注册用户。参考文章：https://blog.csdn.net/qq_23587541/article/details/82115820

4.5901端口：即vnc远程控制的默认端口。VNC (Virtual Network Console)是虚拟网络控制台的缩写。它是一款优秀的远程控制工具软件，由著名的 AT&T 的欧洲研究实验室开发的。VNC 是在基于 UNIX 和 Linux 操作系统的免费的开源软件，远程控制能力强大，高效实用，其性能可以和 Windows 和 MAC 中的任何远程控制软件媲美。 在 Linux 中，VNC 包括以下四个命令：vncserver，vncviewer，vncpasswd，和 vncconnect。大多数情况下用户只需要其中的两个命令：vncserver 和 vncviewer。

5.提权：该靶场的提权思路是使用ssh隧道穿越加vncview加载vnc密码文件的方式，进行远程的登录加root用户提权。

来源：freebuf.com 2021-06-29 12:37:59 by: 程序员1024