tryhackme-Retro(复古的)

题目没有给太多的描述，但是根据硬币，复古的得知这是一个像素，复古，FC游戏的爱好者，之前游戏厅里的游戏

信息收集

首先对靶机进行端口扫描

通过扫描得知一共开放80和3389这两个端口

访问80端口发现是IIS的默认页面

使用gobuster进行目录扫描

扫描到/retro目录，访问该页面

这里我访问了很多的页面，可以看出这是一个wordpress站点

访问wp-login.php使用admin和admin登录失败

使用wpscan扫描该站点

wpscan --url http://10.10.216.207/retro/wp-login.php -e ap at 

通过扫描得到wordpress版本为5.2.1

尝试枚举用户

wpscan --url http://10.10.216.207/retro/wp-login.php -e u 

根据扫描结果没有枚举到用户

通过访问博客的作者可以得到用户名为Wade

但是并不知道密码是什么，这是我们就需要用到一个工具cewl

cewl可以检索页面关键字生成相对应的用户名和字典

cewl http://10.10.216.207/retro/ -w dict.txt

接着我们使用用户名Wade，使用cewl生成的字典dict.txt对目标wp-login.php进行密码爆破

注：其实这里的用户名Wade可以不区分大小写，因为是windows机器默认不区分大小写

使用wpscan自带的用户名密码破解参数进行密码爆破

wpscan --url http://10.10.216.207/retro/wp-login.php -U Wade -P dict.txt -t 66

成功爆破出用户名Wade，密码为parzival

通过用户名和密码登录后台,本来想通过404.php获得reverse shell,但是我使用了另一种方法
如果需要使用404.php反弹shell需要找到404.php文件的位置:地址为http://target_ip/wp-content/themes/主题名/404.php
如果主题名称有空格，例如90s Retro，可能就是90s-Retro或者90sRetro

由于靶机开放3389端口，尝试使用用户名密码登录到靶机

xfreerdp /u:Wade /p:parzival /v:v +clipboard

+clipboard的意思是共享剪切板

登录成功，获取user.txt

权限提升

发现安装有Google chrome,打开发现收藏标签有一个NVD - CVE-2019-1388标签

我们复制到本地访问https://nvd.nist.gov/vuln/detail/CVE-2019-1388

提示我们证书提权，接着继续搜索，在youtube发现利用视频https://www.youtube.com/watch?v=3BQKpPNlTSo

接着在回收站发现hhupd程序，照着视频进行漏洞利用，由于靶机没有网络，无法访问链接，这个是没问题的，继续操作，但是不幸的是，我最后卡在了这个步骤：

这个提权方法我失败了，不过应该还有其他的提权方式，执行systeminfo获取目标操作系统为Microsoft Windows Server 2016 Standard版本号为10.0.14393 N/A Build 14393

搜索该版本相关的漏洞，并没有找到，但是找到一个提权常用的exploit
https://github.com/eonrickity/CVE-2017-0213

下载该脚本，使用python -m http.server 80共享exploit

运行得到system权限

读取root.txt