TryHackMe Brute-It Walkthrough 🔐 | CTF Writeup for Beginners
三句話摘要
以 TryHackMe「Captured」靶機為例,完整演示從偵查、暴力破解到提權的 CTF 滲透測試全流程。 滲透測試的核心在於「枚舉夠細、讀懂回應」——正確解析 HTTP 表單欄位名稱與善用 sudo 誤配置,往往比複雜的 exploit 更能快速拿下靶機。 nmap 資訊蒐集是起點:使用 `-sV -sC -T4 -p-` 全端口掃描,不依賴 OS aggressive scan 也能從 banner 判斷系統為 Ubuntu,此做法在不觸發過多噪音的情況下仍能獲得足夠資訊。
重點整理
重點- 1
nmap 資訊蒐集是起點:使用 `-sV -sC -T4 -p-` 全端口掃描,不依賴 OS aggressive scan 也能從 banner 判斷系統為 Ubuntu,此做法在不觸發過多噪音的情況下仍能獲得足夠資訊。
- 2
gobuster 配合大字典枚舉隱藏路徑:靜態首頁無明顯線索時,搭配 `/usr/share/wordlists/dirbuster/big.txt` 強制枚舉,是找到 admin 面板的關鍵步驟,說明黑盒測試中枚舉不可省略。
- 3
Hydra 攻擊 HTTP POST 表單需正確解析欄位名稱:透過瀏覽器 DevTools Network 面板確認請求方式為 POST,再從 Inspect Element 取得 input 欄位的 `name` 屬性(而非 label),才能正確組成 Hydra 的 `http-post-form` 參數,避免因欄位名稱錯誤導致破解失敗。
- 4
低權限帳號仍可透過 sudo 誤配置完成提權:取得 shell 後發現可以 `sudo cat` 讀取任意檔案,直接讀取 `/etc/shadow` 配合 `unshadow` 與 John the Ripper 即可還原 root 密碼,無需利用任何 kernel exploit。
實用技巧與重點
乾貨- 開放端口:2 個(SSH + HTTP)
- SSH 版本:OpenSSH 7.6p1
- Apache 版本:2.4.29
- 作業系統:Ubuntu
- 目錄枚舉工具:gobuster,字典:`/usr/share/wordlists/dirbuster/big.txt`
- 暴力破解工具:Hydra,密碼字典:`rockyou.txt`
- Hydra 參數格式:`hydra -l admin -P rockyou.txt <target> http-post-form "/admin:user=^USER^&pass=^PASS^&login=login:<error_message>"`
- SSH 私鑰 hash 提取工具:`ssh2john`,輸出為 `id_rsa.hash`
- SSH 私鑰破解工具:John the Ripper,字典:`rockyou.txt`
- 修復私鑰權限:`chmod 600 id_rsa`
- 提權方式:`sudo cat /etc/shadow`(誤配置允許 sudo cat)
- root 密碼:`FOOTBALL`(由 unshadow + John 破解)
- 流程:`unshadow passwd shadow > password.txt` → `john --wordlist=rockyou.txt password.txt`
結論
結論“滲透測試的核心在於「枚舉夠細、讀懂回應」——正確解析 HTTP 表單欄位名稱與善用 sudo 誤配置,往往比複雜的 exploit 更能快速拿下靶機。”
完整解析
詳細這支影片是 TryHackMe「Captured」靶機的完整解題過程,適合用來學習 CTF 中常見的滲透測試技術鏈,涵蓋偵查、枚舉、暴力破解、SSH 認證攻擊與本地提權五個階段。
偵查階段使用 nmap 搭配 `-sV -sC -T4 -p-` 參數對靶機進行全端口掃描,結果顯示只有兩個端口開放:SSH(OpenSSH 7.6p1)與 HTTP(Apache 2.4.29),作業系統從 banner 判斷為 Ubuntu。接著訪問 HTTP 服務,首頁顯示 Apache 預設頁面,Inspect Element 也未見有意義的內容,因此需要進一步枚舉隱藏路徑。
枚舉階段以 gobuster 配合 `/usr/share/wordlists/dirbuster/big.txt` 對 Web 伺服器強制枚舉,找到 admin 登入路徑。透過 Inspect Element 觀察頁面原始碼,發現用戶名稱欄位的 input name 為 `user`,密碼欄位為 `pass`,並透過瀏覽器 DevTools 的 Network 分頁確認登入請求以 HTTP POST 方式發送。取得這些資訊後,使用 Hydra 組成正確的 `http-post-form` 參數,搭配 `rockyou.txt` 字典對 admin 帳號進行暴力破解,成功取得密碼並登入後台。
登入後台後發現一組 SSH 私鑰(id_rsa),下載後使用 `ssh2john` 將私鑰轉換為可破解的 hash 格式,再以 John the Ripper 搭配 `rockyou.txt` 破解,取得私鑰的 passphrase。設定 `chmod 600 id_rsa` 修正權限後,以取得的帳號透過 SSH 私鑰成功登入靶機,並在過程中注意到某個檔案為 Rabbit hole(陷阱),避免偏離方向。
取得低權限 shell 後進行權限稽核,發現該帳號被錯誤配置了 `sudo cat` 的執行權限,可讀取系統任意檔案。利用此漏洞直接讀取 `/etc/shadow` 與 `/etc/passwd`,在本地以 `unshadow` 合併兩個檔案後再次交由 John the Ripper 破解,還原出 root 的密碼為 `FOOTBALL`。由於有 sudo cat 權限,可直接讀取 `/root/root.txt` 取得最終 flag,全程無需利用任何核心漏洞。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
