根据官网提示,一共三个flag,第一个flag是压缩包的解压密码:
而且官网给出了一串字符作为提示,原来以为是md5值,后来发现最大的字母只到f,可能是16进制,用winhex还原一下:
另外还尝试了一波自己的**脚本:
之后正常导入靶机,进行信息搜集:
主机扫描和端口扫描:
开放两个端口。
之后访问80端口,存在一个登录框,随意输入弱口令出现提示:
密码不符合健壮性,按照规则输入密码,出现提示:
直接访问0000flagflagflagflag.php文件,404,看到flag=1的提示,将flag全部替换成1。00001111.php成功访问,获取下一步提示:
翻看源代码,查看可能有文件包含:
包含password.txt文件不存在,但是包含passwd文件成功:
上面得到一个加密的口令,尝试使用john**,但是时间太长,没有拿到口令:
继续尝试寻找password文件,最后在/var文件夹下发现password文件
根据提示制作字典:
使用hydra**:
成功登录yash账户,然后拿到flag0,txt的提示:
无法执行sudo,无SUID权限文件:
定时任务执行sh脚本:
避免失败,用nc和bash分别写入反弹shell命令:
成功反弹shell: