Brute4Road打靶flag1-2（待完结

老师说沙砾快过期了，最近多做一点

flag1

先fscan

有ftp和redis未授权
ftp看没有什么东西

redis也没有

那应该就是利用这些进行反弹shell了

options需要另外一个服务器上有redis

这里因为云服务器配置问题一直没有成功，后面找了师傅的开源项目GitHub - n0b0dyCN/redis-rogue-server: Redis(<=5.0.5) RCE · GitHub
这里只有一次机会打，否则就要重启靶机
并且似乎他的反弹shell指令有问题，所以用交互shell之后再反弹


find一下flag


那这里就得提权

发现base64，用gtfobins查看

这里可以未授权访问，读刚刚未授权的flag文件

flag2

先开本地httpserver文件服务

在靶机上下载fscan和代理工具

看一下ip

start ping
(icmp) Target 172.22.2.3      is alive
(icmp) Target 172.22.2.7      is alive
(icmp) Target 172.22.2.18     is alive
(icmp) Target 172.22.2.34     is alive
(icmp) Target 172.22.2.16     is alive
[*] Icmp alive hosts len is: 5
172.22.2.16:80 open
172.22.2.18:22 open
172.22.2.16:1433 open
172.22.2.18:445 open
172.22.2.16:445 open
172.22.2.34:445 open
172.22.2.3:445 open
172.22.2.7:22 open
172.22.2.16:139 open
172.22.2.34:139 open
172.22.2.3:139 open
172.22.2.34:135 open
172.22.2.18:139 open
172.22.2.7:21 open
172.22.2.16:135 open
172.22.2.3:135 open
172.22.2.18:80 open
172.22.2.7:6379 open
172.22.2.3:88 open
172.22.2.7:80 open
[*] alive ports len is: 20
start vulscan
[*] WebTitle http://172.22.2.16        code:404 len:315    title:Not Found
[*] NetInfo 
[*]172.22.2.34
   [->]CLIENT01
   [->]172.22.2.34
[*] NetInfo 
[*]172.22.2.3
   [->]DC
   [->]172.22.2.3
[*] OsInfo 172.22.2.3   (Windows Server 2016 Datacenter 14393)
[*] NetInfo 
[*]172.22.2.16
   [->]MSSQLSERVER
   [->]172.22.2.16
[*] NetBios 172.22.2.34     XIAORANG\CLIENT01             
[*] WebTitle http://172.22.2.7         code:200 len:4833   title:Welcome to CentOS
[*] OsInfo 172.22.2.16  (Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.2.3      [+] DC:DC.xiaorang.lab               Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.2.18     WORKGROUP\UBUNTU-WEB02        
[*] NetBios 172.22.2.16     MSSQLSERVER.xiaorang.lab            Windows Server 2016 Datacenter 14393
[+] ftp 172.22.2.7:21:anonymous 
   [->]pub
[*] WebTitle http://172.22.2.18        code:200 len:57738  title:又一个WordPress站点
已完成 20/20
[*] 扫描结束,耗时: 12.972952082s

用venom成功代理上

看到了wordpress，这个洞多，先打

用wpscan扫发现有个wpcargo，版本是6.x

大概率就是GitHub - biulove0x/CVE-2021-25003: WPCargo < 6.9.0 - Unauthenticated RCE · GitHub
用脚本上shell

根据wsl的ip设置代理服务器

连接

可以看到成功了

在wp-config.txt里找到数据库账号密码

找到flag2表

flag3

随后发现上面很奇怪，打开看是个密码表

导出成csv后尝试爆破
再看前面，估计只有172.22.2.16的密码是需要爆破的（mssql）
./fscan -h 172.22.2.16 -m mssql -pwdf 1.txt -user sa
[+] mssql:172.22.2.16:1433:sa ElGNkOiC

后面的先挖个坑，电脑proxifier装不好了（哭