nmap 扫描一下端口

image.png
image.png

访问 80 口又是只有一张图,查看源代码啥都没有

image.png
image.png

访问 192.168.149.194/robots.txt 得到了一个 flag,同时可以看到有很多目录
(没截全)

image.png
image.png

另外,下载的首页的图片中的属性里面还有一个 flag

image.png
image.png

写个小脚本简单处理一下 robots.txt,做成一个目录字典

1
2
3
4
5
6
7
8
9
10
11
12
file = open('./flag.txt','r')
lines = file.readlines()
new=[]
for line in lines:
	str = line.split(': /')
	#print(str[1])
	new.append(str[1])

file_out=open('out.txt','w')
for line in new:
	file_out.writelines(line)
file_out.close()

扫到 http://192.168.149.194/Setec/ 得到一张图片

image.png
image.png

去访问一下源码里面泄露的地址

image.png
image.png

得到一个压缩包

image.png
image.png

用 rockyou.txt 破解一下
???怎么还骂人???你妈的

image.png
image.png

打开 flag.txt 就能拿到一个 flag 了

同时里面还有个 txt 应该是给了个提示,但完全 get 不到
最终是通过 cewl 在一个网站上爬出来一个字典,得到了目录 PlayTronics

拿到一个 flag 和一个流量包

image.png
image.png

其中 flag 的 MD5 解密后是 leroybrown

image.png
image.png

从里面可以提取出来一个 mp3

image.png
image.png
image.png
image.png

接下来竟然是听声音拿到用户名????????????????
我听出来也不知道咋拼啊!???????????
“Hi, my name is Werner Brandes. My voice is my passport. Verify Me.”
wernerbrandes
https://www.youtube.com/watch?v=-zVgWpVXb64
影片 ↑

拿到用户名,上面那个 MD5 解出来的是密码,接下来 ssh 登录
wernerbrandes:leroybrown

登录上之后当前目录又有一个 flag

然后用这个 exp,本机编译好之后用 nc 传给靶机,给了运行权限之后运行就可以得到 root 权限
https://www.exploit-db.com/exploits/39166

image.png
image.png