使用nmap -A 192.168.21.37进行扫描,发现开放端口8000,9000
发现需要6个flag,网站提示需要输入flag{start}开始
输入以后提示访问80端口
有两篇文章,发现url有变化,file=,貌似有文件包含漏洞
手工测试,发现文件包含
直接在kali上使用python3启动一个http服务,远程文件包含,上线哥斯拉
发现第一个flag flag{the_game_is_on}
游戏提示需要去这个私网ip地址,哥斯拉扫描一下端口发现这个ip的80端口开启
上传大马,进行端口反弹
代理里面开启本地代理
内核版本为4.15
使用后渗透模块进行提权
没搜到
提权失败,反弹shell不方便,换个meterpreter
添加内网路由表
添加socket隧道
添加隧道配置文件
先尝试一波,发现忘了删除以前留的隧道,删除后就可以成功
设置代理为本地的隧道
直接梭哈远程文件包含
哥斯拉上线要设置代理
发现就是刚才那个网站,继续换目标
访问172.17.0.4看起来就有文件上传的功能,上传文件竟然还要密码?直接bp抓包梭哈
Bp设置sockes代理
浏览器设置bp代理
跑出密码
暂停一下
直接根据上面跑出的密码,直接上传webshell,连接哥斯拉
使用nmap进行扫描,发现172.17.0.5开放了22端口
使用hashcat跑字典
暴力破解出来为root weapons
Ssh远程登录
得到第三个flag flag{what_weapons}
填入flag提示我们去扫描这些端口
扫描得知172.17.0.6的8000端口开启的
使用给出的密码账号登录成功
说没有权限看修改成功,让我看看有什么好东西
Bp抓包设置socks代理,修改username为admin,修改admin的密码
发现flag
说用到了Elasticsearch框架
Nmap扫描到了具体网页
首先发送数据包
再发送执行命令的代码
发现旗子
得到旗子
终于打完了