一、信息收集
1、查看靶机的mac地址:
2、查看靶机的ip地址:
nmap 192.168.13.0/24
3、扫描靶机开放端口的详细信息,发现ftp有一个用户名可以连接Anonymous:
Nmap -p- -sC -sT -sV -A 192.168.13.152
4、访问靶机的80端口:
5、对网站进行目录扫描,查找有用信息:
dirsearch -u "http://192.168.13.152"
6、拼接访问查看信息,发现页面都是空的:
7、80端口几乎没有什么信息,尝试使用前面扫描出来的用户Anonymous进行ftp连接:
ftp 192.168.13.152
8、成功登录之后查看是否有有用信息文件,看到有个token.txt,下载在本地查看:
得到一个token:2d6dbbae84d724409606eddd9dd71265
9、再次访问80端口:
页面大概意思获取token以及提到了用户jack和harry
10、查看网页源代码:
获取了第二个token : 45d9ee7239bc6b0bb21d3f8e1c5faa52
11、拼接查看一下robots.txt文件:
12、拼接查看一下这几个路径:
13、找到一个域名pumpkins.local,修改hosts文件:
14、再次访问80端口:
得到第三个token:06c3eb12ef2389e2752335beccfb2080
15、查看页面源代码,是wordpress:
16、使用wpscan扫描一下网站:
发现了admin和morse用户,还有readme.html以及其他几个页面
wpscan --url http://pumpkins.local -e at -e ap -eu
17、拼接readme.html页面进行访问:
找到morse & jack的密码Ug0t!TrIpyJ 。
第四个token:K82v0SuvV1En350M0uxiXVRTmBrQIJQN78s
18、拼接wp-login.php页面使用morse:Ug0t!TrIpyJ成功登录:
后台获取到第五个token:7139e925fd43618653e51f820bc6201b
19、由于我们还有一个名为admin 的用户,之前第一个页面有一个的关键字!我们尝试用其进行登录,成功登录:
获得了我们的第6个token:f2e00edc353309b40e1aed18e18ab2c4
20、对pumpkins.local进行目录扫描,查看是否有有用信息:
dirsearch -u "http://pumpkins.local"
21、拼接访问目录信息:
找到第七个token:5ff346114d634a015ce413e1bc3d8d71
22、之前我们获取到了四个用户分别是admin、morse、jack、harr,前三个用户都有密码了,第四个用户尝试使用hydra爆破:
hydra -l harry -P passwds.txt -t 10 -vV -e ns 192.168.13.152 ftp -f
账号和密码为:harry:yrrah
23、使用账号密码进行连接ftp:
24、查看一下txt文件内容:
得到第八个token:ba9fa9abf2be9373b7cbd9a6457f374e
25、从token.txt中得到第九个token:f9c5053d01e0dfc30066476ab0f0564c:
cd Donotopen > NO > NOO > NOOO > NOOOO 获取到token.txt
26、接着查看NOOOOO文件,得到data.txt文件,打开之后是一堆看不懂的字符:
27、使用file查看文件类型是tar类型:
tar vxf data.txt
tar xjf data
tar vxf key
cat jack
28、使用xxd将十六进制转储转换并修补为二进制文件得到一个ssh私钥:
xxd -r -p jack
29、新建sshkey文件将私钥复制,修改权限然后登录jack账户,ssh端口为6880:
30、查看token文件:
找到第十个token:8d66ef0055b43d80c34917ec6c75f706
二、提权
1、使用sudo -l查看sudo权限:
2、发现有一个文件,但是没有pumpkins的目录,创建相应目录和文件,使用sudo提权:
echo "/bin/sh" > /home/jack/pumpkins/alohomora
chmod 777 /home/jack/pumpkins/alohomora