每周靶机之Tommyboy1dot0

发表于 更新于 分类于 本文字数: 3.5k 阅读时长 ≈ 6 分钟

总之这是今天的靶机

使用工具

攻击机:kali(192.168.246.128)
工具:
nmap(端口扫描)
dirbuster(目录爆破)
crunch(密码表生成)
fcrackzip (压缩包爆破)
wpscan (扫描/爆破wordpress)

知识点:
1、信息泄露
2、md5解密
3、命令执行

获取过程

flag1

1
国际惯例 先arp-scan 发现同网段的设备
2
6

-sC :根据端口识别的服务,调用默认脚本 。

我们借用nmap的-sC附加项 发现80端口存在四个防止爬虫进入的目录

什么是robots.txt

robots.txt是网站管理者写给爬虫的一封信,里面描述了网站管理者不希望爬虫做的事,比如:

  • 不要访问某个文件、文件夹
  • 禁止某些爬虫的访问
  • 限制爬虫访问网站的频率

一个自觉且善意的爬虫,应该在抓取网页之前,先阅读robots.txt,了解并执行网站管理者制定的爬虫规则。

依次进入 发现flag-numero-uno.txt目录下存在第一个flag信息
7
按他的描述 存在五个flag碎片 我们需要集齐它们来获取最终的宝藏

flag2

firefox访问80端口
3
f12发现隐藏注释
4
翻译大意为线索在这段youtube视频之中
5
访问查看 全文就一句 “hey prehistoricforest”
我们尝试 **/prehistoricforest/**目录
访问发现是个公司博客
我们查看其中的文章与评论获取线索
8
发现了flag2的线索:thisisthesecondflagyayyou.txt
往目录中输入查看
9
成功获取第二个flag

flag3

10
博客的前两篇相互关联
一篇是加密的 无法访问
而另一篇则是在询问该加密博客的密码
我们查看该博客来寻找线索
11
提示提到我们要删去目录中的 prehistoricforest 换上 richard
12
发现了一张图片 我们保存下来
13
使用strings工具查看是否存在图片隐写
14
可以看出其中潜藏了一段md5码
15
解密结果为spanky
看来spanky就是加密博客的密码
我们输入 访问
16
博客大致翻译如上
那么我们知道了
1.ftp服务器不咋稳定 每15分钟会开机关机循环
2.ftp有个名为nickburns的账户 密码很好猜
3.ftp在一个不寻常的端口上运行
我们ftp尝试链接
17
ps:这里省略了等待+nmap扫描端口后发现65534的过程
总之我们发现了一个名为readme.txt的文件
获取后开启
18
内容大意如下
按照他的意思 我们访问NickIzL33t目录
19
网站说只有他和史蒂夫乔布斯(苹果公司创始人)可以看到其中的内容
那看来是需要以iphone的身份来进入
20
我们去firefox的插件商城下个更改身份的插件(关键词User Agent Switcher)
安装完更改身份 刷新网页
21
他说我通过了第一个考验 但真正的内容需要我输入准确的.html目录
那就使用目录爆破工具dirbuster来扫描
22
ps:需要在options-advance options中将user agent(请求头)改为iphone 把file extension改为html
线程能拉多大拉多大 是为了加速出结果

示意图:

24

待解决的问题:dirbuster报错20次会自动停止需要手动继续开始 目前没有找到解决方法

23
得到结果fallon1.html 我们访问
24
获得 一个提示 flag3与pw备份
25

flag4

pw备份是个压缩包 我们暂且保存下来
发现需要密码
那我们看看提示有没有提供什么有用的

26
他告诉了我们密码的组成成分 而我们可以利用这点生成一个密码表
通过搜索了解Tommy Boy上映于1995年
也就是说 密码为bev[一个大写字符][两个数字][两个小写字符][一个符号]1995 一共十三个字符
我们利用crunch工具生成密码表

crunch使用指南

crunch <min-len>  <max-len>  [<charset string>] [options]
-t     指定密码输出的格式
-o     将密码保存到指定文件

特殊字符,通常与-t配合使用
%      代表数字
^      代表特殊符号
@      代表小写字符
,      代表大写字符

这里按我们所需要的密码来输入命令

crunch 13 13 -t bev,%%@@^1995 -o password.txt
27
生成完毕了
我们再利用fcrackzip工具来爆破压缩包

28
先安装一下

fcrackzip -v -D -u -p [密码文件] [zip文件]
-v 更详细
-D 使用字典
-u 使用unzip清除错误密码
-p 密码文件

输入fcrackzip -v -D -u -p password.txt t0msp4ssw0rdz.zip

29
得到结果pw == bevH00tr$1995
解压获得passwords.txt
30
查看 发现四个密码 其中俩不完整
31
bigtommysenior的密码提示:密码为fatguyinalittlecoat后面加了点数字 但是他忘了是啥 提示在公司博客中
bigtom(他连账号都不是很确定)的密码提示:和皇后乐队的一首有名歌曲有联系
既然公司博客的类型是wordpress 那我们就需要用到wpscan工具了

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能.

>--update  更新到最新版本
>--url   | -u <target url>  要扫描的`WordPress`站点.
>--force | -f   不检查网站运行的是不是`WordPress`
>--enumerate | -e [option(s)]  枚举
>u 枚举用户名,默认从1-10
>u[10-20] 枚举用户名,配置从10-20
>--username | -U <username指定爆破的用户名
>--wordlist | -w <wordlist指定密码字典

我们输入指令wpscan --url "http://192.168.246.136/prehistoricforest/" -e u
32
发现存在用户tom
那就指定爆破用户tom的密码
wpscan --url http://192![33](/33.jpg).168.246.136/prehistoricforest/ -P /usr/share/wordlists/rockyou.txt -U tom
33
结果得出tom的密码为tomtom1
我们利用这套账号密码登录公司wordpress博客的后台
34
里面有个未发布的文章 内容是之前提到的fatguyinalittlecoat后的数字
于是我们得出
bigtommysenior的密码为fatguyinalittlecoat1938!!

坑:可能有点先入为主了 我试了好几遍fatguyinalittlecoat1938

我们用这套账号密码登入该靶机的ssh服务

35
首先是获得了flag4

flag5

根目录下的LOOT.ZIP有密码 暂且不管他
获得flag4的同时 它留下了提示:flag5位于服务器的**/.5.txt**中
但该文件需要root权限

那我们根据Linux的http网站的根目录一般都是/var/www/html来看看有没有之前破解过程中服务器中的NickIzL33t

最终省略寻找过程 我们发现//var/thatsg0nnaleaveamark/NickIzL33t/P4TCH_4D4MS下有一个开放权限的uploads文件夹
我们利用 文件上传漏洞 在其中创建一个文件

36

创建完毕 在firefox中利用木马
37
他给出了第五个flag 并叫我们将五个flag结合起来 作为密码解压LOOT.ZIP

flag1:B34rcl4ws
flag2:Z4l1nsky
flag3:TinyHead
flag4:EditButton
flag5:Buttcrack
结合起来就是B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack

解压LOOT.ZIP 获得THE-END.txt
38
过关!

总结

总过程4 5小时 是我目前做过过程最繁琐的靶机
配合了多个工具 需要对多个漏洞有充分了解才能解开
经过这次打靶认识了不少新玩意 同时也认识到了一些不足
希望可以活用到下一次