Vulnhub-靶机-PINKY'S PALACE: V2

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/pinkys-palace-v2,229/

nmap -Pn -n -vvv -p- -oN pinks2allports 192.168.226.134

nmap扫描结果

看到开了4个端口，但是只有80 端口能够访问，先访问看看，访问的过程发现浏览器左下角显示正在解析pinkydb 导致页面访问不全，根据经验猜测这里是需要绑定hosts名称为pinkydb即可正常访问，同时此靶机官方描述也是这么说的，那么我们绑定hosts

命令行添加hosts信息
echo 192.168.226.134 pinkydb | sudo tee -a /etc/hosts

然后即可正常访问

看到此页面，第一感觉认为是WordPress，而且上面也显示了就是WordPress程序，那么我们使用wpscan扫描并枚举用户之后，发现存在一个用户名为pinky1337的用户，这个用户留着后用，我们先爆破下目录

gobuster dir -u http://pinkydb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,txt

根据上面信息获得了目录secret，其中有个目录wordpress这再次初始化安装，然后后台账号及权限拿shell，不过这里实际测试并未成功，然后就直接访问secret目录，得到如下信息

根据上述信息，有经验的话可直接判断出来这里是存在knock，端口敲门完成之后开启其他端口的访问，前面刚开始就已经使用nmap探测出来有4个端口，只是80端口能够被访问，其他3个端口被过滤了，那么猜测是可以通过knock来开启其他三个端口，开启方法如下

首先根据上述的3个数字进行排列组合，因为不知道其是根据哪个顺序来判断的，所以使用Python脚本生成如下可能的序列：

python -c 'import itertools; print list(itertools.permutations([8890,7000,666]))' | sed 's/), /\n/g' | tr -cd '0-9,\n' | sort | uniq > pinky2.txt

生成的内容如下：

然后使用shell脚本不停地去尝试敲击即可

访问了这3个端口，其中31337这个以为是后门端口，但是实际测试并没有什么大的作用，于是试了端口7654，发现是可以正常访问，显示一个登陆界面，这里花了些时间，使用各种密码字典没搞出来，最后使用cewl根据关键字pinky生成密码字典破解出来用户和密码，这里的用户名使用了常见的admin,root,pinky,pinky1337 使用hydra进行表单暴力破解，具体如下：

使用hydra进行爆破

hydra -L user.txt -P bmfx.txt pinkydb -s 7654 http-post-form "/login.php:user=^USER^&pass=^PASS^:F=Invalid Username or Password!"

试了上面两个用户去登陆，发现用户pinky1337的密码有问题， 不知道啥原因，但是用户pinky能登陆成功， 得到如下结果：

上面得到两个URL地址，一个是一段文字，另一个则是一段用于登陆ssh的密钥，尝试登陆一把看看，根据上述页面提示，用户名就是stefano

发现此密钥需要密码才能使用，使用rockyou这个密码字典暴力破解试试首先要使用ssh2john转换一下，再使用john去破解

python /usr/share/john/ssh2john.py id_rsa > bmfxrsacrack

得出密码secretz101

到了这一步在其家目录下发现了tools目录，使用不了strings命令，执行显示是交互式的输入形式，无法正常利用，发现此文件的权限含有www-data，联想到跟目标靶机的网站有关，此时想到刚才登陆成功之后显示的URL是带问号一个文件的形式，猜测可能有文件包含，试试看(这里我也是看网上的文章想到的)

 可正常读取文件，那么利用此处反弹shell跳转到用户pinky，最终操作如下：

很奇葩发现有权限但是执行不了

不打算搞了，参考下面博客的地址吧

参考：https://blog.csdn.net/qq_34801745/article/details/104070421