背景
邪恶公司正在尽力组织圣诞公司内部的交流,破坏了邮件系统和McSysadmin的管理面板,你能找到管理面板并帮助圣诞公司恢复吗?
这里就要用到机器了,需要下载vpn文件,连接vpn
资产发现&它的重要性
资产可以是文件,文件夹,路径等,不会轻易被公共访问的。如果我们能获取,会大大利于后面的行动,这些资产包括
1.配置文件
2.密码密钥
3.备份文件
4.内容管理系统
5.管理员面板
路径文件爆破工具
常用的比如Dirbuster
用法:dirb 网站 字典路径
字典就是要爆破的目录的集合,kali里面自带了一些
在/usr/share/wordlists/中
github上的:https://github.com/danielmiessler/SecLists
弱密码 默认密码
有些系统有默认密码,或者管理员设置的密码很简单
字典:https://github.com/danielmiessler/SecLists/tree/master/Passwords/Default-Credentials
有些默认密码可以通过用户手册,源代码等找到。
挑战开始
枚举一下给的网站的目录,用common那个字典
/usr/share/wordlist/dirb/common.txt
用户名administrator
密码administrator