HTB-brainfuck

首先使用 nmap 进行端口扫描，扫描结果显示目标开放22、25、110、143、443端口，同时在 SSL 证书中发现三个域名

将三个域名添加到host里面访问

点击login访问/wp-admin目录出现 WordPress 标志确定该网站采用了 WordPress 框架。

 
使用 wpscan 对 WordPress 模版进行专项扫描，发现 WordPress 插件 wp-support-plus-responsive-ticket-system，当前版本为 7.1.3wpscan --url https://brainfuck.htb --disable-tls-checks --enumerate u,p,t

同时WPScan 成功枚举到了两个 WordPress 用户账户

搜索一下查看是否有漏洞能利用

searchsploit -x 41006.txt

这里我理解为，管理员提供了未经身份验证的访问权限，我们可以设置一个用户名进行登录下图我们将poc里面的地址改为靶场，因为wp-admin是在brainfuck.htb下面而不是wp下面

保存poc打开

重定向回首页发现，账号处于登录状态

 
进入主题编辑器，编辑模板文件，，但页面提示用户不具有写入权限，因此该方法失效

 
进入插件页面发现四款插件，因为文章中提到 SMTP 整合已就绪，看看其中Easy WP SMTP

点击Settings进入设置，成功发现 SMTP 登录信息，但对密码进行了隐藏。

复制在浏览器里，能得到密码

 
得到账号密码登录SMTP 服务

• Port 25 (SMTP): 用于发送邮件。
  
• Port 110 (POP3): 用于接收/下载邮件。
  
• Port 143 (IMAP): 也是用于接收邮件。
  

 
进入论坛

阅读了整个论坛，意思就是要访问ssh要找到密钥，而且密钥就藏在这些加密里面

解密维吉尼亚密文   

根据对话内容目前虽然有了登录私钥id_rsa，但是其中的密码未知，需要通过爆破获取下载 SSH 私钥id_rsacurl https://brainfuck.htb/8ba5aa10e915218697d1c658cdee0bb8/orestis/id_rsa -k -o id_rsa   

通过 ssh2john 把id_rsa转换为哈希，以便使用 john 爆破。   

使用rockyou.txt字典进行爆破,成功拿到密码为3poulakia!   

尝试利用该私钥登录 SSH，首先赋予其 400 权限。chmod 400 id_rsa然后使用私钥登录用户 orestis ssh -i id_rsa orestis@10.129.228.97   

使用 RSA 加密机制，其中output.txt提示为加密后的密码，根据 RSA 算法机制以及p、q、e计算私钥d和明文m

使用脚本计算m

将m转化为flag

 

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！