本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。
HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。
1、靶机介绍
这次的靶机是Brainfuck(Brainfuck是一种极小化的计算机语言,由于fuck在英语中是脏话,所以简称为BF),本期难点主要是在密码学。
2、探测靶机
首先使用autorecon进行基础的信息收集。
命令:python autorecon.py IP地址
跑完以后打开nmap探测的结果,这次并没有开启80端口,而是转到了443端口。
同时DNS给的地址分别是www.brainfuck.htb和sup3rs3cr3t.brainfuck.htb
虽然输入IP到浏览器还是会回显,但是页面不同。
这里要稍微修改下etc/hosts把IP加进去页面正常回显。
和右下角有个大大的wordpress,可以确认目标是个wordpress站点。
3、使用wpscan获取信息
这里直接用wpscan加IP扫结果发现,wpscan并不是合适,https就直接识别不出来了。
这里只能改进下wpscan的命令,最后扫的一个wp-supportxxxx的插件可以确定是一个比较老的版本,对于老版本而言漏洞存在几率大。
命令:wpscan –-url https://brainfuck.htb –disable-tls-checks-eu,ap,t
4、搜索漏洞信息
这里通过删减关键词找到了两个漏洞,一个是SQL注入,一个是提权。
SQL是一个后台注入漏洞,然而需要先登录后台。
再看另外一个是由于cookie配置不当,导致可以直接升级为admin。
5、制造对应的payload
这里要注意下面的proof是一个html的文件格式,需要在本地创建好。
然后架一个python共享服务器点击发送数据过去,不是直接到action后面的地址,用Burp修改数据。
这是最终版payload(username为admin,是wpscan用eu扫出的结果)
然后用python开启服务器模式,根据自己的python版本进行输入,然后在浏览器输入本地IP后,点开构造好的html payload。
点击login,命令: python -m SimpleHTTPServer 8081 python -m http.server 8081
此时访问会action后面的地址,再刷新wordpress发现多了些内容,变成admin在浏览器后面输入/wp-admin后,可直接进后台。
6、进入后台收集信息
这里进入后台爬到settings时,发现有个SMTP的密码。打开F12点击查看一波,可以去到110/25端口看一下。
可以使用nc或者是其它工具进行连接邮件端口。
因为在一开始已经知道开了25 110邮件端口,所以可以直接连接。
用list代替ls,用retr数字号码打开邮件。
重点是第二封邮件给了一个账号密码。
7、难度最大的密码学解密
这里的账号密码可能是子域名的这个网站
成功登录以后有3个文件
打开SSH是一版不知道啥语言,只看懂有个http网址。
后来发现是vigenere密码,需要先把词转,但是并不是固定的,这里直接放答案,id_rsa典型的ssh钥匙。
8、利用john猜解ssh密码
这里赋予权限后,有个密码需要猜解。
先转,然后直接上万能的rockyou.txt很快就跑出来了。
最后终于见到user的flag了
9、解密拿flag
这里由于Home目录下还有其它文件逐一打开,虽然encrypt.sage有root.txt,但是其它文件还有加密。
只能一段一段复制进必应,最后找到GitHub上有一个类似的,这是RSA加密。
然后又跟着其它代码找到了一个可解密的脚本,关键词是p,q,e,ct。
p,q,e对应的是debug的每一段,然后ct是output.txt里面的,把脚本复制下来后改一改。
当然这个脚本解密后并不是最后的root的flag,还得转hex一波。
最后这才是最终的flag。
以上为今天分享的内容,小伙伴们看懂了吗?
文章素材来源于i春秋社区
注:文章内容仅供学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!
往期回顾
培训认证
END
i春秋官方公众号为大家提供
前沿的网络安全技术
简单易懂的实用工具
紧张刺激的安全竞赛
还有网络安全大讲堂
更多技能等你来解锁
点分享
点点赞
点在看
原文始发于微信公众号(i春秋):HTB靶场记录之BF
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论