Task 1

Which service version is found to be running on port 80?

(发现哪个服务版本在端口 80 上运行？)

$ nmap -sV -Pn 10.129.1.27 -p 80

nginx 1.14.2

Task 2

What is the 3-digit HTTP status code returned when you visit http://{machine IP}/?

(访问http://{机器IP}/时返回的3位HTTP状态码是什么？)

$ curl -I http://10.129.1.27/

302

Task 3

What is the virtual host name the webpage expects to be accessed by?

(网页期望访问的虚拟主机名是什么？)

ignition.htb

Task 4

What is the full path to the file on a Linux computer that holds a local list of domain name to IP address pairs?

(Linux 计算机上保存域名与 IP 地址对的本地列表的文件的完整路径是什么？)

/etc/hosts

Task 5

Use a tool to brute force directories on the webserver. What is the full URL to the Magento login page?

(使用工具暴力破解网络服务器上的目录。 Magento 登录页面的完整 URL 是什么？)

# echo "10.129.1.27 ignition.htb" >> /etc/hosts

PHPSESSID 为php框架

-dir.txt-
admin
login
1
2
3

$ gobuster dir -x php -u "http://ignition.htb/" -w dir.txt

http://ignition.htb/admin

Task 6

Look up the password requirements for Magento and also try searching for the most commong passwords of 2023. Which password provides access to the admin account?

(查找 Magento 的密码要求，并尝试搜索 2023 年最常见的密码。哪个密码可以访问管理员帐户？)

在爆破之前得先知道是否做了防护

里面有form_key，这是一个csrf的token防爆破

当把请求体删除后页面出现了from_token参数

由于爆破传入用户名和密码后无法获取下一次的token,也就是说我们只能先,无参数传参获取token,再次带token发送参数二次爆破

• 使用宏来自动获取token

选择带返回token的请求

参数名字是请求包中token的参数名

添加到规则

自动运行宏

到范围选项卡,这里选择包含所有URL，上面的工具范围可以自己选,例如选择了应用到重放模块，那么每一次重放任意数据包时候,如果里面有form_key字段，那么会先发送token数据包获取token,再次将token组合进来二次发送账户密码爆破登录

form_key为任意即可,因为宏执行完会自动替换

来到重放模块,可以看到账密验证失败
再将数据包发送至爆破模块

爆破模块设置线程为1

选狙击手模式

-字典-
d1h2awd
qwerty123
admni
password
qwerty

密码:qwerty123

qwerty123

Flag

797d6c988d9dc5865e010b9410f247e0