端口掃描:
80端口開放,且存在robots.txt文件。
存在ftp服務器和ssh服務器。可以嘗試爆破或者搜索exploit庫看是否存在相關漏洞。
對web服務進行掃描:
應該存在phpmyadmin和wp兩個程序。
先查看首頁,獲取到flag1:
之後使用弱口令嘗試phpmyadmin失敗。
還是使用wpscan掃描wordpress,發現兩個用戶
之前一直糾結unclestinky,以爲會存在弱口令,結果萬萬沒想到,admin存在弱口令:
論一個好字典的重要性。我的弱口令1000裏面居然沒有admin,我佛了。
另外在偵查過程中查看源代碼,發現可能存在後門:
而且通過查看其中一個後門,返回結果很像是msf的php類型shell。但是不是自己留的,不能反彈shell出來。說明在後臺可能有個地方可以留後門。
登錄admin找到這個留後門的地方:
通過後門成功獲取meterpreter:
讀取mysql配置,獲取flag2:
然後在user表找到用戶uncletinky的hash:首先分析一波:
利用john集合rockyou字典成功解出hash:
嘗試ssh登錄:
之前通過meterpreter收集一波信息:
禁止登錄,嗯。。。。
不急之前掃端口,發現還有個ftp,試試:
成功登錄。最後翻文件夾,在ssh文件深入找到了私鑰:
使用私鑰登錄:
獲取flag3:
在document文檔發現一個pacp包,下載到本地分析一波:
追蹤tcp流,在第37個包找到數據:
發現登錄賬號密碼:
Su切換用戶成功:
+
翻看文件夾,在Desktop目錄查看到helpdesk.log:
應該可以使用sudo,查看一些sudo權限:
可以使用binaries目錄下的derpy開頭的文件,我們自己創建一個這樣的腳本:
創建一個輸出id的腳本,使用sudo執行,成功輸出root的信息。
之後可以彈shell,可以直接讀取最後一個flag:
嗯。。。。彈不出來。。。
直接讀取flag: