搜不到名字的靶场

# 靶场四-WP

## 收集资产

```shell
netdiscover -r 192.168.0.0/24
nmap -p- 192.168.0.135 #masscan -p 0-65535 192.168.0.135
nmap -sV -sC -p- -A 192.168.0.135
```

信息

| 端口     | 服务                     |
| -------- | ------------------------ |
| 80/TCP   | HTTP                     |
| 5985/TCP | wsman (http 403)         |
| 7001/TCP | afs3-callback (http 403) |

wsman与afs3-callback均可想办法实现攻击

## 网站收集

在`http://192.168.0.135/robots.txt`得到flag

```
flag{@OASQqwe128@}
```

发现`http://192.168.0.135/0`是靶场登录页面

访问7001端口在examples找到kindeditor的样例版本为3.5.5，存在目录穿越漏洞

访问`http://192.168.0.135:7001/php/file_manager_json.php?path=/`可以看到返回值

```
http://192.168.0.135:7001/php/file_manager_json.php?path=/.././.././.././.././.././
```

注意：每返回上一级都需要使用`.././`

访问`192.168.0.135:7001/php/file_manager_json.php?path=/.././.././fastadmin/public/`可以看到一个flag.txt

![image-20240718101534176](https://download.imxbt.cn/upload/20240718101534293db24524cc93ee1d99031f7517980d530.png)

获取flag2

```
flag{@hjykkx995Qa@}
```

发现WNeSOgakp.php为管理后台登陆地址，fastadmin管理后台存在弱口令admin/123456

在角色组找到flag3

```
flag{@hjlakDGDkjso@}
```

## Getshell

由于后台插件安装了在线命令1.1.0

所以配置了一个一句话木马，然后通过蚁剑连接即可

![image-20240718104226852](https://download.imxbt.cn/upload/202407181042269115735b098a3196f530e9b77a232b440c6.png)

进入虚拟终端在workstation的桌面找到flag4

```
flag{ed@sjhhjkqkgQQ}
```

咸鱼社

搜不到名字的靶场

发表新评论