一、信息收集
1、使用nmap扫描存活主机
2、发现192.168.189.158开放了80和22端口,访问其80端口
3、发现是用wordpress搭建的站点,对其进行目录扫描发现wordpress后台
二、漏洞利用
1、尝试使用wpscan对用户名和密码进行爆破
先用cewl生成相应的字典
cewl -m 6 -w passwd.txt http://192.168.189.158/
成功爆出一个用户的密码
2、使用改用户登录之后发现一张跟靶机主题相关的图片
3、将图片下载到本地,使用exiftool工具进行查看,得到了ssh的链接密码
4、连接ssh,拿到第一个flag
三、权限提升
1、同时我们发现有一个keyfile.kdbx文件
什么是.kdbx 文件
通过KeePass密码安全创建的数据文件称为KDBX文件,它们通常所说的KeePass的密码数据库。这些文件包含密码的加密数据库,其中如果用户设置一个主密码,并通过主密码访问他们,他们只能查看。当涉及到的电子邮件帐户的个人登录凭据,电子商务网站,视窗,FTP站点和其他目的的安全存储KDBX文件是很有用的。KDBX文件正在使用KeePass的版本2,因为在以前的版本中通常使用KDB格式大多是介绍。KeePass的是,在像Windows,MAC,Linux和其他移动设备的多个操作系统运行在密码管理器。它是用来作为口令存储,其中所述口令是使用一个主密钥文件锁定一个高度加密的数据库内的应用程序。即使老版本的KeePass的使用KDB文件,他们仍然可以被用来打开KDBX文件。
破解该文件的方法
1、将keyfile.kdbx下载到本地
2、将 keyfile.kdbx 内容转为 john 支持的格式: keepass2john keyfile.kdbx > Keepasshash.txt
3、然后使用 john 破解: john --wordlist=/usr/share/wordlists/rockyou.txt Keepasshash.txt
2、破解之后得到密码
3、将刚才的keyfile.kdbx文件上传到keeWeb, 输入破解出的密码即可打开,得到六个类似密码的字符串
链接:https://app.keeweb.info/
4、尝试利用刚才得到的字符串登录root用户,均失败
我们向靶机中上传一个监控程序
下载地址:https://github.com/DominicBreuker/pspy/releases
赋予执行权限 chmod +x pspy64
执行后我们发现在根目录下,每分钟就执行一个key.sh的脚本文件
5、我们可以推测: /root/key.sh 脚本会通过计划任务执行,可能会访问 /keyfolder 目录中对应的文件(/keyfolder目录我们可以在根目录发现)
这时我们刚才在keyfile.kdbx文件中破解出的密码就可以用了
我们可以以破解出的密码为文件名在/keyfolder目录下创建文件,逐一尝试之后发现当我们创建了fracturedocean文件时,在/keyfolder目录下生成了rootcreds.txt文件
这个貌似才是root用户的密码
6、登录root账号获得flag