BadByte - HackMD

###### tags: `THM` # BadByte nmap -A -vv -p 1-65535 10.10.48.23 ![](https://i.imgur.com/JczfSTM.png) 得知開了2個port:22，30024 22做ssh，目前不知道密碼先放著 30024開了ftp，且可以匿名登入，先嘗試 ![](https://i.imgur.com/WUN9ZdR.png) 登入成功，有料發現ssh key!!更有料!!! 下載下來 ![](https://i.imgur.com/YZYJAhS.png) note中看到有user name ![](https://i.imgur.com/HTJgAIG.png) ![](https://i.imgur.com/U0Kuudk.png) we need the passphrase ! THM提示利用john去破解私鑰遇到了點小問題 ![](https://i.imgur.com/A1Bw7yY.png) 參考這篇，原來是版本問題，修改一下 https://stackoverflow.com/questions/69187685/getting-attributeerror-module-base64-has-no-attribute-decodestring-error-wh ![](https://i.imgur.com/yzWmdw4.png) 可以了，讚讚 ![](https://i.imgur.com/vkAaQId.png) 開始爆破 ![](https://i.imgur.com/U6kBJb9.png) 成功，讚讚 ![](https://i.imgur.com/KqdmEJR.png) 不對欸 ![](https://i.imgur.com/uU89fbw.png) 我有passphrase還是要password，我還是不知道password阿== 所以這把私鑰應該不是root的... 先開hydra爆一下再假裝想想辦法 ![](https://i.imgur.com/It5IngO.png) 想到我這不是還有username嗎 ![](https://i.imgur.com/7W6CvaJ.png) 讚讚繞了一圈沒找到能利用的東西根據他note的提示，有個webserver但是只有本地能連上，外網連不上，利用老師教的Port fowarding轉發 ![](https://i.imgur.com/bokgJzL.png) 參考THM答題的教學，利用Port Forwarding 設定proxychains ![](https://i.imgur.com/zUJYwN7.png) proxychains nmap -sT 127.0.0.1 測試一下 ![](https://i.imgur.com/KmNZ3W7.png) 成功惹再次ssh，把它的80轉發到我本地的8080 ![](https://i.imgur.com/u6bdkgp.png) ![](https://i.imgur.com/ZD1hSXj.png) 阿所以....我的網頁呢 ![](https://i.imgur.com/uPhFvvK.png) 訪問本地:80也不行不過看這個回應，前面應該是我搞錯惹 -L 80:127.0.0.1:remote port 前面的port應該才是我隨便指定的，後面的是它的要確定的 ![](https://i.imgur.com/Gylcvpg.png) ![](https://i.imgur.com/t458psC.png) 再改一次 ![](https://i.imgur.com/GBOSUiw.png) 把前後都改80啦== 成功看到網頁啦，讚讚 ![](https://i.imgur.com/QkKYpkK.png) 掃描一下網頁 proxychains nmap -A -vv 127.0.0.1 ![](https://i.imgur.com/o2gWRW6.png) ![](https://i.imgur.com/LBqtJWZ.png) 看到這大概有幾個方向 1.wordpress:常見的網站架設平台 2.Gravatar:可以上傳頭像服務第一個我比較熟悉所以let's go ![](https://i.imgur.com/vMSNEDN.png) 先用 123 / 123檢查一下錯誤提示 ![](https://i.imgur.com/MdTEH6r.png) 再用errorcauser/123 測試，結果得到一樣的回應再找找有沒有其他的username root->失敗 badbyte->失敗 ![](https://i.imgur.com/2tQ6RP3.png) cth -> 成功開始爆破密碼這邊用的是wpscan wpscan --url http://localhost/wp-login.php -U cth -P rockyou.txt ![](https://i.imgur.com/Q126UIV.png) 同一時間利用自己寫的壞壞python爆破並且用Reverse從密碼檔下面猜回來，加快速度 ![](https://i.imgur.com/TQ5s6Xu.png) ![](https://i.imgur.com/ETFYHkf.png) 爆了半天換了幾本字典檔也沒爆出來，回頭看了一下thm ![](https://i.imgur.com/irYNjDM.png) 叫我們用nmap再次探測，看看有什麼CMS，並利用metasploit中的CVE打進去 prxoychains nmap ![](https://i.imgur.com/40CFt94.png) --script=vuln 跳出 Segmentation fault 搜尋一下其他可利用腳本一開始找關鍵字cms沒東西，改找wordpress ![](https://i.imgur.com/TE3XmDn.png) 三個都嘗試了，都沒有想要的cms漏洞資訊，連wp都沒提到 ![](https://i.imgur.com/EUHegyy.png) 換個工具試試看，無法 ![](https://i.imgur.com/xIwu9nk.png) 偷偷看下提示 ![](https://i.imgur.com/JoR1g09.png) 更改參數 ![](https://i.imgur.com/CwuKwe3.png) 最下面寫到failed to resolve search-limit=1500 失敗，查找一下原因 google以及--help都找不到"search-limit"到底是幹嘛用的比較接近的可能就這個? ![](https://i.imgur.com/XoiWyEB.png) 後來看了一眼writeup下的參數，發現它們沒用proxychains欸因為已經轉發到本地port forwarding到本地 ![](https://i.imgur.com/kiAnOyc.png) ![](https://i.imgur.com/QMtV2KF.png) 謝謝你，我的超人把duplicator 1.3.26 cve拿去google https://www.exploit-db.com/exploits/50420 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11738 發現有Directory Traversal / File Read的漏洞，編號cve-2020-11738 用msfconsole跑了下 ![](https://i.imgur.com/BUwtQ46.png) 沒有shell，一個一個找目錄好累 ![](https://i.imgur.com/dG9EUZB.png) 終究還是要RCE search worespress rce ![](https://i.imgur.com/0ZQzh07.png) 有25個Modules而符合RCE的大概一半，而根據duplicator來判斷應該是跟插件、file相關的RCE，範圍又能在縮小都嘗試過了，結果沒一支可以== 不知道是targeturi設錯還是怎樣，我看回應感覺其中一支有中，但是meterpreter卻沒回來，訪問提到的路徑也沒回應 ![](https://i.imgur.com/D6sxSet.png) 換個方法，不用工具，去github找cve來用吧 ![](https://i.imgur.com/sXPAaJf.png) 找cve-2020-25213 參考這篇 https://github.com/mansoorr123/wp-file-manager-CVE-2020-25213 ![](https://i.imgur.com/cEWMvIR.png) 上傳reverse.php成功，開啟監聽並訪問路徑 ![](https://i.imgur.com/rVl7BYm.png) ![](https://i.imgur.com/UCJ9xf5.png) 失敗，吐了，我沒了回想以前打wordpress的經驗，通常上傳都有限制檔案格式，懷疑我的php被擋了測試一下把url副檔名改一下 ![](https://i.imgur.com/WDewU4q.png) 果然回應不一樣 ![](https://i.imgur.com/aY6k44b.png) 看來的確是這樣，msfconsole上傳的也是.php可能也是同樣原因才回不來的再次上傳.jpg一句話木馬 ![](https://i.imgur.com/Ve8b61H.png) ???????我吐了== 參考這篇POC https://infosecwriteups.com/exploiting-cve-2020-25213-wp-file-manager-wordpress-plugin-6-9-3f79241f0cd8 內文提到""可以上傳具有任意擴展名的任意文件""，我放棄了，我超爛去掉副檔名在上傳一次並訪問 ![](https://i.imgur.com/INmGCMT.png) 這次有成功，但是訪問結果不盡人意上傳一句話木馬試試 ![](https://i.imgur.com/XbI8nRB.png) 看來也沒成功...嗚嗚嗚靶機最難的就是你看了別人的writeup照著做但是他可以，你不行 -胡適