首先使用 nmap 进行端口扫描,扫描结果显示目标开放22、25、110、143、443端口,同时在 SSL 证书中发现三个域名
将三个域名添加到host里面访问
点击login访问/wp-admin目录出现 WordPress 标志确定该网站采用了 WordPress 框架。
使用 wpscan 对 WordPress 模版进行专项扫描,发现 WordPress 插件 wp-support-plus-responsive-ticket-system,当前版本为 7.1.3
wpscan --url https://brainfuck.htb --disable-tls-checks --enumerate u,p,t
同时WPScan 成功枚举到了两个 WordPress 用户账户
搜索一下查看是否有漏洞能利用
searchsploit -x 41006.txt
这里我理解为,管理员提供了未经身份验证的访问权限,我们可以设置一个用户名进行登录
下图我们将poc里面的地址改为靶场,因为wp-admin是在brainfuck.htb下面而不是wp下面
重定向回首页发现,账号处于登录状态
进入主题编辑器,编辑模板文件,,但页面提示用户不具有写入权限,因此该方法失效
进入插件页面发现四款插件,因为文章中提到 SMTP 整合已就绪,看看其中Easy WP SMTP
点击Settings进入设置,成功发现 SMTP 登录信息,但对密码进行了隐藏。
复制在浏览器里,能得到密码
得到账号密码登录SMTP 服务
- Port 25 (SMTP): 用于发送邮件。
- Port 110 (POP3): 用于接收/下载邮件。
- Port 143 (IMAP): 也是用于接收邮件。
进入论坛
阅读了整个论坛,意思就是要访问ssh要找到密钥,而且密钥就藏在这些加密里面
解密维吉尼亚密文
根据对话内容目前虽然有了登录私钥id_rsa,但是其中的密码未知,需要通过爆破获取
下载 SSH 私钥id_rsa
curl https://brainfuck.htb/8ba5aa10e915218697d1c658cdee0bb8/orestis/id_rsa -k -o id_rsa
通过 ssh2john 把id_rsa转换为哈希,以便使用 john 爆破。
使用rockyou.txt字典进行爆破,成功拿到密码为3poulakia!
尝试利用该私钥登录 SSH,首先赋予其 400 权限。chmod 400 id_rsa然后使用私钥登录用户 orestis
ssh -i id_rsa orestis@10.129.228.97
使用 RSA 加密机制,其中output.txt提示为加密后的密码,根据 RSA 算法机制以及p、q、e计算私钥d和明文m
使用脚本计算m
将m转化为flag
