描述
Mission-Pumpkin v1.0是初学者级别的CTF系列。该CTF系列适用于对黑客工具和技术具有基本知识,但又难以应用已知工具的人们。南瓜花园是Mission-Pumpkin v1.0下3台机器的系列的第1级。第2级识别南瓜种子,第3级是南瓜节。感兴趣的可以到vulvhub上下载其他级别的靶机。
第1级的最终目标是获得对存储在根帐户中的PumpkinGarden_key文件的访问权限。
南瓜花园靶机下载地址:https://www.vulnhub.com/entry/mission-pumpkin-v10-pumpkingarden,321/
环境
ipos靶机192.168.74.173Ubuntu攻击主机192.168.74.129kali靶机环境搭建
下载好ova后直接在virtualBox或者VMware上打开即可,首页会提示IP地址
启动kali,内网扫描存活主机
arp-scan -l扫描到靶机后,nmap扫描可以利用的端口
nmap -sV 192.168.74.173 -p- //扫描靶机的0-65535端口并且返回利用端口的服务可以看到有3个端口
21端口:ftp服务
1515端口:apache服务
3535端口:ssh服务
由于kali没有自带的ftp服务,直接在网页上访问,可以直接匿名访问,打开文件可以看到如下内容
他让我们找到jack,其他没有什么可以利用的了
接下来试着访问1515端口的apache服务
可爱的网页,让我们不忍心去攻陷她
但是我们还是要扫描一下他的目录
dirb http://192.168.74.173:1515
有一个img目录可以访问
访问到192.168.74.173:1515/img,随便翻翻里面的文件
除了一些美味的南瓜图片外,还有一个隐藏的秘密,打开来看感觉像是一行base64加密过的代码
用base64解密,解密后看起来像是一个账号密码
这个时候我们就想到了直接nmap扫描出来的ssh服务,试试它能不能登录ssh
执行如下命令尝试连接到靶机,注意端口是3535
ssh scarecrow@192.168.74.173 -p 3535轻松拿到了shell,但这是一个低权限的shell,我们再找找里面有什么东西
只有一个note.txt文件,我们来读取一下,大概内容就是说南瓜花园的钥匙在LordPumpkin(根用户)手上
你可以向goblin求助,用"Y0n$M4sy3D1t"这个密钥,从而找到LordPumpkin
所以就是让我们用goblin用户登录,密码就是Y0n$M4sy3D1t
可以用goblin登上去,但是没有权限查看当前目录文件,所以我们应该访问goblin用户的home文件
在goblin目录就有了一些权限,可以看到这个目录也有一个note,打开看看
大概内容就是南瓜花园的钥匙在LordPumpkin手上,但是他知道钥匙在什么地方,钥匙在他的后花园
然后给了一个链接,我们wget一下
但是DNS解析不了他这个域名
#!/bin/sh echo ALEX-ALEX su /bin/su /usr/bin/su _E0F将上面这个脚本写到sudoedit.sh里面,然后依次执行这两步
chmod a+x ./sudoedit sudo ./sudoedit $1但是发现一个问题,这个靶机会每15秒删除该目录下的所有文件,所以,这个步骤一定要快
我的办法是将这些步骤先执行一遍,最后直接翻阅历史命令就行
进入root权限以后,crontab -l可以看到他会每15s删除goblin用户目录下的所有文件
然后进入到root目录
cd /root
拿到南瓜花园的钥匙,这个文件内容应该还是base64加密,在网上解密一下
恭喜你,拿到PumpkinGarden_key!!
参考文献:https://www.cnblogs.com/-an-/p/12229381.html
https://blog.csdn.net/nini_boom/article/details/102841845
