本文旨在介绍我,obtuosa,一名年轻的网络安全初学者,如何通过tryhackmepickle rick的瑞克和莫蒂主题挑战?>,在网络服务器上,其目的是找到三种成分可以帮助动画系列《瑞克和莫蒂》中的著名角色瑞克制作一种药水,使他变回人类,因为他发现自己变了变成泡菜并成为著名的泡菜瑞克!
介绍
在我们开始有关 pickle rick 机器的过程之前,重要的是要强调一些关于
tryhackme 和著名的 黑客机器 的信息,即使很简短(hacking机器)。
tryhackme是一个在线平台,在某些方面是免费的,我说在某些方面,因为有一些房间,需要订阅premium计划,除了交付根据各自的计划享受的好处,这是免费版本中没有的。该平台的中心目标是帮助您通过浏览器使用实践练习和“实验室”来了解网络安全。
黑客机或著名的黑客机是用户用来提高他们的黑客技能和对网络安全领域的理解的虚拟环境。在其中,可以参与攻击场景和漏洞,其中用户可以以主要合法和安全的方式使用他们的知识和利用技术。因此,pickle rick 挑战赛正是一台黑客机器,专注于寻找漏洞,直至达到最终目的。
认出
定义了这个简短的信息后,拯救瑞克的轨迹就会被制作出来!
目标使用 ubuntu 来运行 apache web 服务器。然而,无法通过curl获得有关目标使用的语言的更精确的信息。这样,网站自己的html的头部就有了/assets/目录,该目录主要用于存储网站或web应用程序的媒体、字体等。
合乎逻辑的操作方法是在最后引入 .php,从而访问 /login.php 屏幕。这纯粹是猜测,考虑到使用目录搜索工具将使该过程更加实用,但是,这里的目标是尝试手动执行此操作并一路改进概念,而不依赖于此工具。
勘探
登录后的初始屏幕有一个命令面板,根据之前服务器在 ubuntu 上运行的信息得出的结论是,我们可以使用终端自带的命令,此外还可以访问目标的完整目录。检查此屏幕时,有一个有趣的提示,即 html 注释中以 base64 编码的短语。
第一个成分是在命令面板中使用 ls 找到的,标题为
sup3rs3cretpickl3ingred.txt。给你一个提示,如果你有兴趣,你可以使用 pwd 定位当前目录,结合 less 来读取 txt 文件,或者你也可以直接输入 url,这将有第一个成分的答案。请记住,“假设”cat 命令以及 nano、vim 等都被禁用。
ls -la total 40 drwxr-xr-x 3 root root 4096 feb 10 2019 . drwxr-xr-x 3 root root 4096 feb 10 2019 .. -rwxr-xr-x 1 ubuntu ubuntu 17 feb 10 2019 sup3rs3cretpickl3ingred.txt drwxrwxr-x 2 ubuntu ubuntu 4096 feb 10 2019 assets -rwxr-xr-x 1 ubuntu ubuntu 54 feb 10 2019 clue.txt -rwxr-xr-x 1 ubuntu ubuntu 1105 feb 10 2019 denied.php -rwxrwxrwx 1 ubuntu ubuntu 1062 feb 10 2019 index.html -rwxr-xr-x 1 ubuntu ubuntu 1438 feb 10 2019 login.php -rwxr-xr-x 1 ubuntu ubuntu 2044 feb 10 2019 portal.php -rwxr-xr-x 1 ubuntu ubuntu 17 feb 10 2019 robots.txt
注意:如果您尝试访问除命令之外的其他菜单选项,您将被拒绝访问,因为您不是真正的 rick。
cd ../../../home/rick;ls -la second ingredients
注意:如何访问带有空格的文件?它可以使用 less 本身并带引号或反斜杠。
cd ../../../home/ubuntu;ls -la total 44 drwxr-xr-x 5 ubuntu ubuntu 4096 Jul 11 10:37 . drwxr-xr-x 4 root root 4096 Feb 10 2019 .. -rw------- 1 ubuntu ubuntu 769 Jul 11 11:18 .bash_history -rw-r--r-- 1 ubuntu ubuntu 220 Aug 31 2015 .bash_logout -rw-r--r-- 1 ubuntu ubuntu 3771 Aug 31 2015 .bashrc drwx------ 3 ubuntu ubuntu 4096 Jul 11 10:39 .cache drwx------ 3 ubuntu ubuntu 4096 Jul 11 10:37 .gnupg -rw-r--r-- 1 ubuntu ubuntu 655 May 16 2017 .profile drwx------ 2 ubuntu ubuntu 4096 Feb 10 2019 .ssh -rw-r--r-- 1 ubuntu ubuntu 0 Feb 10 2019 .sudo_as_admin_successful -rw------- 1 ubuntu ubuntu 4267 Feb 10 2019 .viminfo
注意:要访问隐藏文件,使用 sudo 和 less 来获得特权访问非常重要。
结论
因此,通过 pickle rick 机器,可以更多地了解 html 的结构和 php,以及一些常见的目录,例如 /assets 和 /robots.txt 本身。此外,还涉及有关 linux 命令的概念,例如 cd、ls、less、pwd 等。 因此,考虑到了解网络安全知识库以应对挑战非常重要,我们需要更实际地看待网络黑客攻击。这里包含的信息只是解决问题的可能方法之一,还有很多其他的可能性,你也可以有你的,不要只执着于一种观点,如果你想指出某件事,请带上你的方式解决它,辩论一些事情或我的一些错误陈述,请随意,我们在这里补充和学习。请记住,教育是转变的最大源泉,不要放弃!
