Vulnhub-靶机-Tommy Boy: 1

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/tommy-boy-1,157/

nmap -p- -n -sC -sV 192.168.5.144 -o tommyboy.nmap

扫描得出结果开放了3个端口,先看看web端口

 

 根据nmap的扫描记过访问robots.txt

得到上述页面,尝试每个页面访问一下,确认每个里面都有张图片,并且下载下来,然后使用strings命令查看是否存敏感信息,但是并没有发现敏感信息,访问另一个非图片的文件flag-numero-uno.txt,可以得出此时第一个需要获取的flag

===================================================================================================================================================================================

我们开始找第二个flag,再次访问目标web网站,没发现什么有价值的东西,顺便看看源码

根据网页源码发现一个YouTube视频网站URL地址,访问看看,发现一个关键字prehistoricforest,尝试直接在web页面访问这个路径看看

 发现是个WordPress博客网站,目标网站有4篇文章,其中一篇文章被设置了密码,先放着,看看其他几篇文章,结果发现有篇文章下面有留言给出了关键信息

 

Flag #2: thisisthesecondflagyayyou.txt

根据这个意思是反馈这是第二个flag,我们把他当做网站路径访问看看

直接得到了第二个flag 

Flag data: Z4l1nsky

==================================================================================================================================================================================

开始下一个征程 访问:http://192.168.5.144/prehistoricforest/index.php/2016/07/07/son-of-a/#comment-4

 

 确认关键字richard、直接当web路径访问看下

发现有张照片,将照片下载下来,使用strings命令看看是否存在隐藏的敏感信息,

 发现一个hash值 ce154b5a8e59c89732bc25d6a2e6b90b 将其丢到somd5.com进行破解看看

发现破解出来了密码,使用这个密码进行访问那个被加密的文章

===============================================================================================================================================================================

访问被加密的文章根据其内容可以知道有个ftp高端口,通过nmap进行全端口扫描,发现如下信息

确定开放的ftp端口是65534 ,尝试去连接下这个端口

访问下载了一个文件名为readme.txt文件

下载想下来查看内容:

反馈的大概意思就是有个文件夹NickIzL33t 文件夹下面有个加密的zip压缩包,此时再访问刚开始的时候使用nmap扫描出来的8008端口

根据提示限制了user-agent,只允许iPhone手机可以访问对应的内容,那么我们可以使用burpsuite配置替换user-agent来完成

然后使用dirb命令进行暴力猜解目录,图形界面的也可以,我这里使用命令行的方式靠谱,我使用图形界面的爆破一段时间出现异常

命令如下:

dirb http://192.168.56.5:8008/NickIzL33t/ /usr/share/wordlists/rockyou.txt -a "Mozilla/
5.0 (iPhone; CPU iPhone OS 9_2 like Mac OS X) AppleWebKit/601.1 (KHTML, like Gecko) CriOS/47.0.2526.70 Mobile/13C71 Saf
ari/601.1.46"

最后爆破出来一个html路径如下:

http://192.168.5.144:8008/NickIzL33t/fallon1.html

 

 

 访问上述3个路径,又得到了一个flag和密码爆破提示信息及需要破解的压缩包文件

 

 

这是密码提示信息,作为后面生成密码的重要参考依据

 

下载加密的压缩文件,我这里的浏览器使用了burp代理替换user-agent可以直接下载,也可以通过curl命令指定user-agent下载,如下:

 curl --user-agent "Mozilla/5.0 (iPhone; U; CPU iPhone OS 2_2 like Mac OS X; en-us) AppleWebKit/525.18.1 (KHTML, like Gecko) Version/3.1.1 Mobile/5G77 Safari/525.20" -v http://192.168.5.144:8008/NickIzL33t/t0msp4ssw0rdz.zip -o tom.zip

下载的时候将其改名为tom.zip

得到了需要破解的zip文件,然后开始根据提示生成密码文件,这里使用crunch命令进行生成

crunch 13 13 -t bev,%%@@^1995 -o passlist_tomboy.txt

 破解zip压缩文件,同样是使用fcrackzip命令进行破解,命令如下:

fcrackzip -v -D -u -p passlist_tomboy.txt tom.zip

上述是最终的破解结果  bevH00tr$1995

查看解压后的密码信息

 

此时的信息可能跟之前的web访问页面WordPress有关,使用wpscan进行扫描探测存在哪些用户名

wpscan --url http://192.168.5.144/prehistoricforest -P /usr/share/wordlists/rockyou.txt -U tom 

探测出来用户名是tom密码为tomtom1

进入之后发现发件箱有一封邮件

对比前面解密压缩包的文件信息

可以得出账号和密码

Username: bigtommysenior
Password: fatguyinalittlecoat1938!!

进行ssh登陆

 

翻看根目录发现文件.5.txt但是当前用户权限不可以看,需要www-data权限,此时去看看网站的根目录,翻到一个uploads文件夹,而且权限是全局都有的

那么我直接在此文件夹下创建一个shell.php然后代码是<?php  system($_GET['shit']); ?> 然后在web浏览器上执行

http://192.168.5.144:8008/NickIzL33t/P4TCH_4D4MS/uploads/shell.php?shit=cat%20/.5.txt

Flag data: Buttcrack

汇总前面得到的flag

flag1:B34rcl4ws
flag2:Z4l1nsky
flag3:TinyHead
flag4:EditButton
flag5:Buttcrack

得到密码:B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack

解压文件LOOT.ZIP就得到了所有的flag,如下:

 

 

posted @ 2020-08-27 17:10  皇帽讲绿帽带法技巧  阅读(784)  评论(0编辑  收藏  举报