Mountaineer
6w$的事情出现了反转,目前还没有最新消息,后面差不多了再出后续,不管怎样我们都是罐菌,恭喜张云彬拿下2024 QQ飞车年度总决赛冠军🏆
最近换了MacBook Pro,玩几台靶机找找手感,mac打还是因为环境不完善,慢慢磨合吧
外部端口信息收集
循例nmap
WEB信息收集
80端口
源码没藏东西
目录枚举
feroxbuster扫出wordpress
访问wordpress,将域名加入hosts
wpscan - 未授权sql盲注
wpscan扫出个插件有未授权sql盲注,同时还有其他需要认证的洞,常规思路应该就是先拿帐户密码登陆Wordpress然后用另一个需授权的洞获得初始访问权限
在这里我找到了PoC https://github.com/Hacker5preme/Exploits/blob/main/Wordpress/CVE-2021-24946/exploit.py[1]
不过我在检查PoC是否包含恶意代码时,发现它是直接调用了sqlmap,所以我们就直接跑sqlmap
我放弃了盲注,因为网络环境较高,等它跑完估计靶机都关了,所以我选择借助wp
好吧,数据库不会给我们有用的东西,并且指向了另一个攻击路径-> nginx
nginx配置错误 - 路径遍历/任意文件读取
在这里nginx经典的配置错误对我们有利
扫都不用扫了,照抄就行
常规先读nginx配置文件,发现另一个子域
加入hosts并访问
通过枚举wordpress的用户,我们可以找到在首页没有发帖子的账户k2
弱口令k2:k2就进去了
从邮件中得到了一个密码
从另一封邮件可以得知这应该就是k2的密码
Foothold
登陆wp之后,从之前wpscan的结果中,我们就可以知道攻击路径是什么了
检查了PoC后,我发现导致任意文件上传的原因是在import上传文件时,action参数改成下图,将会绕过文件检查
我们直接传个常规php一句话
有python3,直接常规reverse shell
本地横向移动 www-data -> k2
home下有许多用户,看文件
将kdbx下到攻击机
用前面k2的两个凭据进行复用,可以到k2
本地横向移动 k2 -> kangchenjunga
在k2家目录的mail目录下看到Sent文件,很显然,我们需要利用lhotse的个人信息来爆破它的backup.kdbx
cupp吃灰这么久也是终于用一次
在Mac中,john并没有python或perl版本的keepass2john,幸好,有大佬转换了可用的版本
https://github.com/ivanmrsulja/keepass2john但是john和hashcat仍然识别不到,有点晚了就不折腾了,也比较简单的事情,直接wp拿密码跳下一步吧
从kdbx读到kangchenjunga密码
su过去
本地权限提升
从.bash_history看到了泄漏了root密码,没啥意思
References
[1]:https://github.com/Hacker5preme/Exploits/blob/main/Wordpress/CVE-2021-24946/exploit.py
原文始发于微信公众号(APT250):TryHackMe - Mountaineer
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论