Mission-Pumpkin v1.0: PumpkinGarden（南瓜花园）靶机的渗透测试

描述

Mission-Pumpkin v1.0是初学者级别的CTF系列。该CTF系列适用于对黑客工具和技术具有基本知识，但又难以应用已知工具的人们。南瓜花园是Mission-Pumpkin v1.0下3台机器的系列的第1级。第2级识别南瓜种子，第3级是南瓜节。感兴趣的可以到vulvhub上下载其他级别的靶机。

第1级的最终目标是获得对存储在根帐户中的PumpkinGarden_key文件的访问权限。

南瓜花园靶机下载地址：https://www.vulnhub.com/entry/mission-pumpkin-v10-pumpkingarden,321/

环境

	ip	os
靶机	192.168.74.173	Ubuntu
攻击主机	192.168.74.129	kali

靶机环境搭建

下载好ova后直接在virtualBox或者VMware上打开即可，首页会提示IP地址

攻击过程详解

启动kali，内网扫描存活主机

arp-scan -l

扫描到靶机后，nmap扫描可以利用的端口

nmap -sV 192.168.74.173 -p-   //扫描靶机的0-65535端口并且返回利用端口的服务

可以看到有3个端口

21端口：ftp服务

1515端口：apache服务

3535端口：ssh服务

（一）21端口渗透

由于kali没有自带的ftp服务，直接在网页上访问，可以直接匿名访问，打开文件可以看到如下内容

他让我们找到jack，其他没有什么可以利用的了

（二）1515端口渗透

接下来试着访问1515端口的apache服务

可爱的网页，让我们不忍心去攻陷她

但是我们还是要扫描一下他的目录

dirb http://192.168.74.173:1515

有一个img目录可以访问

访问到192.168.74.173:1515/img，随便翻翻里面的文件

除了一些美味的南瓜图片外，还有一个隐藏的秘密，打开来看感觉像是一行base64加密过的代码

用base64解密，解密后看起来像是一个账号密码

这个时候我们就想到了直接nmap扫描出来的ssh服务，试试它能不能登录ssh

（三）3535端口渗透

执行如下命令尝试连接到靶机，注意端口是3535

ssh scarecrow@192.168.74.173 -p 3535

轻松拿到了shell，但这是一个低权限的shell，我们再找找里面有什么东西

只有一个note.txt文件，我们来读取一下，大概内容就是说南瓜花园的钥匙在LordPumpkin(根用户)手上

你可以向goblin求助，用"Y0n$M4sy3D1t"这个密钥，从而找到LordPumpkin

所以就是让我们用goblin用户登录，密码就是Y0n$M4sy3D1t

可以用goblin登上去，但是没有权限查看当前目录文件，所以我们应该访问goblin用户的home文件

在goblin目录就有了一些权限，可以看到这个目录也有一个note，打开看看

大概内容就是南瓜花园的钥匙在LordPumpkin手上，但是他知道钥匙在什么地方，钥匙在他的后花园

然后给了一个链接，我们wget一下

但是DNS解析不了他这个域名

#!/bin/sh
echo ALEX-ALEX
su
/bin/su
/usr/bin/su
_E0F

将上面这个脚本写到sudoedit.sh里面，然后依次执行这两步

chmod a+x ./sudoedit
sudo ./sudoedit $1

但是发现一个问题，这个靶机会每15秒删除该目录下的所有文件，所以，这个步骤一定要快

我的办法是将这些步骤先执行一遍，最后直接翻阅历史命令就行

进入root权限以后，crontab -l可以看到他会每15s删除goblin用户目录下的所有文件

然后进入到root目录

cd /root

拿到南瓜花园的钥匙，这个文件内容应该还是base64加密，在网上解密一下

恭喜你，拿到PumpkinGarden_key！！

参考文献：https://www.cnblogs.com/-an-/p/12229381.html

https://blog.csdn.net/nini_boom/article/details/102841845