本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 97 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/4
靶机难度:初级(3.7/10)
靶机发布日期:2017 年 10 月 16 日
靶机描述:
Tenten is a medium difficulty machine that requires some outside-the-box/CTF-style thinking to complete. It demonstrates the severity of using outdated Wordpress plugins, which is a major attack vector that exists in real life.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.10....
Nmap 发现了 OpenSSH 和 Apache 服务器上运行的 Wordpress 博客...
登录进来发现... 又是非常熟悉的 wordpress 博客... 利用 wpscan 枚举即可...
wpscan --url http://10.10.10.10/ --enumerate u vp
用以上命令可以扫描出用户名,可看到发现了 takis 用户信息...
登陆进来后往下翻有立即申请图标,进入发现页面信息 url 存在 ID?修改 ID 发现有各类的内容信息,有的可以上传文件,有的可以注册账号等等... 都存在各自不同的职位职称...
for i in $(seq 1 20); do echo -n "$i: "; curl -s http://10.10.10.10/index.php/jobs/apply/$i/ | grep '<title>'; done
利用 curl 枚举了所有 ID 的信息... 发现了 hack.... 值得关注....
需要继续枚举目录底层信息... 这里利用了
[cve-2015-6668](https://vagmour.eu/cve-2015-6668-cv-filename-disclosure-on-job-manager-wordpress-plugin/)
去获得底层信息地址...
因为前面利用 bp 拦截检查过上传文件,无法上传 php 文件提权... 只能是 jpg、png 等图片... 搜索发现底层存在 jpg 信息..
下载下来...
steghide extract -sf HackerAccessGranted.jpg
通过 string 等工具分析... 视乎存在 hash 值...
利用 steghide 提取出了图片的 id_rsa 值信息... 这里的信息很久以前就演示过了...
直接利用 ssh2john.py 脚本转换 rsa,然后利用开膛手爆破... 成功获得了密码...
可知道 nmap 扫描发现 ssh 是开放着... 直接登陆... 获得 takis 用户权限... 提取了 user 信息...
linux 直接 sudo 查看提权方法... 发现 fuckin 执行 root 权限... 直接提即可...
成功获得 root 权限提取 root 信息....
由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台简单的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号