用户
搜索
  • TA的每日心情
    慵懒
    前天 09:49
  • 签到天数: 96 天

    连续签到: 2 天

    [LV.6]常住居民II

    i春秋-核心白帽

    Rank: 4

    51

    主题

    67

    帖子

    2196

    魔法币
    收听
    0
    粉丝
    9
    注册时间
    2020-7-23
    发表于 2020-12-31 10:50:06 46443
    0x00:靶机介绍
    这次的靶机是Brainfuck难点主要是在密码学
    0.png
    0x01:探测靶机
    首先使用autorecon进行基础的信息收集。这里我去摸鱼等它慢慢跑
    命令:python autorecon.py IP地址
    1.png
    跑完以后打开nmap探测的结果。这次并没有开启80端口。而是转到了443端口。同时DNS给的地址分别是www.brainfuck.htb和sup3rs3cr3t.brainfuck.htb
    2.png
                                                                                                             

    虽然输入IP到浏览器还是会回显但是页面不同。
    3.png

    这里要稍微修改下etc/hosts把IP加进去页面正常回显。[url=mailto:同时观察到页面有一个邮箱信息是[email]orestis@brainfuck.htb[/email]]同时观察到页面有一个邮箱信息是[email]orestis@brainfuck.htb[/email][/url]和右下角有个大大的wordpress 可以确认目标是个wordpress站点
    4.png

    0x02:使用wpscan获取信息
    这里一开始很头铁的直接wpscan加IP扫结果发现wpscan并不是很聪明的样子。https就直接识别不出来了
    5.png
    这里只能改进下wpscan的命令,最后扫的一个wp-supportxxxx的插件是可以确定是一个比较老的版本。对于老的版本而言存在漏洞的几率大点。
    命令:wpscan –-url https://brainfuck.htb –disable-tls-checks-eu,ap,t
    6.png

    0x03:搜索漏洞信息
    这里通过删减关键词找到了两个漏洞一个是SQL注入。一个是提权
    7.png


    看了下SQL的是一个后台注入漏洞。需要先登录后台。好可以放弃了。再看另外一个。由于cookie配置不当导致可以直接升级为admin好了就决定是你了。
    8.png

    0x04:制造对应的payload
    这里要注意一下下面的proof是一个html的文件格式。需要在本地创建好。然后架一个python共享服务器点击发送数据过去。不是直接去到action后面的地址然后用Burp修改数据。这是最终版payload(username为admin是wpscan用eu扫出的结果这里忘记截图了。)

    9.png
    然后用python开启服务器模式请根据自己的python版本进行输入哈。然后在浏览器输入本地IP以后点开构造好的html payload。然后点击login
    命令: python -m SimpleHTTPServer 8081      python -m http.server 8081
    10.png

    此时访问会action后面的地址。再刷新wordpress发现多了点东西。其实已经变成admin了在浏览器后面输入/wp-admin可以直接进后台了。
    11.png

    0x05:进入后台收集信息
    这里进入后台爬到settings时发现有个SMTP的密码。打开F12点击查看了一波可以去到110/25端口看一下
    12.png


    可以使用nc或者是其它工具进行连接邮件端口。因为在一开始的时候已经知道了开了25 110邮件端口所以可以直接连接。用list代替ls用retr 数字号码打开邮件
    13.png


    重点是第二封邮件给了一个账号密码。
    14.png
    0x05:难度最大的密码学解密
    这里的账号密码可能是子域名的这个网站
    15.png

    成功登录以后有3个文件。
    16.png

    打开SSH是一版不知道啥语言。我只看懂有个http网址。
    17.png
    一开始我以为是欧洲的某种语言后来才发现是vigenere密码。。。。需要先把词转,但是并不是固定的。。。。这里直接放答案,自己表达也不是很好id_rsa典型的ssh钥匙
    18.png

    0x06:利用john爆破ssh密码
    这里赋予权限后果然没让我失望。还有个密码让我破解。
    19.png

    这里不墨迹了。先转,然后直接上万能的rockyou.txt很快就跑出来了。不用默认字典了。龟速
    20.png

    最后总算见到user的flag了
    21.png

    0x07:解密拿flag
    这里由于Home目录下还有其它文件逐一打开,虽然encrypt.sage有root.txt但是其它文件是啥加密啊。对于没学过密码学的我真的只能阿巴阿巴了。
    22.png

    无他,只能一段一段复制进必应,最后找到GitHub上有一个类似的。起码让我知道了这是RSA加密。
    23.png

    然后又跟着其它代码找到了一个可解密的脚本。关键词是p,q,e,ct。
    24.png

    P,q,e对应的是debug的每一段。然后ct是output.txt里面的。把脚本复制下来后改一改
    25.png
    当然这个脚本解密以后并不是最后的root的flag还得转hex一波

    26.png
    最后这才是最终的flag。做这个靶机两天没le.
    27.png

    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    发表于 2021-1-4 11:36:26
    感谢分享
    使用道具 举报 回复
    皮卡丘皮卡丘皮卡丘~
    使用道具 举报 回复
    加油,骚年
    使用道具 举报 回复
    发表于 2021-1-7 10:59:55

    感谢师傅分享,学习了~
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册