HackTheBox-Linux-Brainfuck

靶机地址：https://www.hackthebox.eu/home/machines/profile/17

靶机难度：初级（3.5/10）

靶机发布日期：2017年10月17日

靶机描述：

Brainfuck, while not having any one step that is too difficult, requires many different steps and exploits to complete. A wide range of services, vulnerabilities and techniques are touched on, making this machine a great learning experience for many.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.17....

Nmap发现了几个开放服务以及通过SSL证书枚举的几个主机名，需要将所有的DNS主机名添加到/etc/hosts...

访问这是个nginx页面..前面nmap就知道存在证书信息...看看

在证书中，我发现了一封电子邮件地址...

看到brainfuck.htb页面正在运行WordPress...（这里又可以用wpscan了）...还提示了邮件是通过SMTP进行的...

sup3rs3cr3t.brainfuck.htb页面是一种类似论坛的发言面板...

wpscan --url https://brainfuck.htb --disable-tls-checks

直接利用wpscan收集信息...运行该工具后，该站点似乎正在运行过期扩展名wp-support-plus-responsive-ticket-system...

searchsploit查询中，可利用的有特权升级和SQL注入利用...这里利用了41006...

利用该exp简单修改填入信息...利用即可...

开启本地80监听...通过访问本地...执行即可...

在右上方可以看到该漏洞已起作用，现在已经以管理员身份登录WordPress网站，并可以访问管理门户内容...

根据前面SMTP的信息提示...直接找到最下方SMTP的模块，通过前端源码查看到了用户名和密码....

telnet 10.10.10.17 110

通过登陆邮箱，发现了两封邮件...在最后一封邮件发现了论坛的登录名和密码...

成功利用登陆后...发现key和ssh，应该之间通话存在加密行为...

通过检查发现两者之间的通信已加密..可看到Orestis使用的特殊签名会在SSH访问中找到...可以对加密文本内容在网站进行解密...

http://rumkin.com/tools/cipher/vigenere-keyed.php

通过key和ssh对话互相解密后...找到了底层存在的id_rsa密匙凭证...

下载下来查看，这里直接开始解密即可...（熟悉的密匙)

前几章也讲过类似的环境了...直接通过john解密出了密码...

通过授权，靶机开放的ssh，成功登陆了orestis用户...获得了user信息...

可以看到在目录底层还存在另外的密匙文件...

看不懂文件意思...直接复制google搜索，这是转换rsa密匙....

通过google搜索rsa q p e解密代码...利用即可...

回来查看该crypto.sage脚本意思是可使用debug.txt中的调试值读取文件，该脚本可以输入p、q和e的值来读取该root.txt信息....

将密匙填入即可...

因为取了of的最后两个值pt并对其进行解码，使得出十进制值即为root.txt的内容，需要将十进制转换为十六进制...成功获得了root.txt信息...