tryhackme-Anthem(国歌)
根据题目描述,这是一个让我们练习的简单Windows
机器
信息收集
首先对靶机进行端口扫描
加入-Pn
参数是因为Windows
默认开启防火墙拒绝icmp
ping数据包
根据开放端口80
和3389
猜测到后续可能会远程连接靶机
接着访问80
端口进行信息收集
根据title
和网页标题,可以看出网站的域名为Anthem.com
,查看源代码得到第一个来自搜索框flag
接着访问第一条帖子/archive/we-are-hiring/
得到第二个flag
从这个页面中,我们的得知正在招聘年轻有活力的人来工作,得到一个邮箱JD@anthem.com
和一个用户名Jane Doe
,用户名Jane Doe
是一个超链接,点击访问得到三个flag
接着访问第二条帖子/archive/a-cheers-to-our-it-department/
得到第四个flag
并且再改页面发现了一个管理员用户名James Orchard Halliwell
,还有一段提示信息
During our hard times our beloved admin managed to save our business by redesigning the entire website.
As we all around here knows how much I love writing poems I decided to write one about him:
Born on a Monday,
Christened on Tuesday,
Married on Wednesday,
Took ill on Thursday,
Grew worse on Friday,
Died on Saturday,
Buried on Sunday.
That was the end…
通过翻译看一看出,心爱的管理员,拯救了网站,这里我们搜索这首诗得到一个用户名为Solomon Grundy
接着没有其他的信息了,继续访问robots.txt
,我们得到如下内容
有一个重要的信息UmbracoIsTheBest!
,通过题目的描述这应该是密码,还有一个umbraco
目录,得知该网站是umbraco CMS
通过搜索umbraco
默认用户名密码为admin
,test
,并没有登录成功
初始访问权限
这里通过网站提示留下的邮箱JD@anthem.com
和他的用户名Jane Doe
我们得知邮箱为开头大写首字母
,那么我们得到的管理员Solomon Grundy
,管理员的邮箱地址就是SG@anthem.com
,那么可以尝试使用SG
或者SG@anthem.com
为用户名,通过robots.txt
得到的密码通过远程桌面登录靶机
rdesktop 10.10.39.105 -r clipboard:PRIMARYCLIPBOARD
clipboard:PRIMARYCLIPBOARD
的意思为共享剪切板
通过SG
用户名和密码UmbracoIsTheBest!
登录成功
在桌面得到user.txt
权限提升
打开显示隐藏文件
在C:\
根目录发现backup
目录中有一个文件restore.txt
,查看发现没有权限
右键 -> 属性 -> 安全
将SG
用户添加到权限列表,设置read
读取文件权限
得到一串字符,猜测是administrator
管理员用户的密码ChangeMeBaby1MoreTime
尝试访问administrator
用户的桌面,输入获取的密码,获得root.txt