Mountaineer

6w$的事情出现了反转，目前还没有最新消息，后面差不多了再出后续，不管怎样我们都是罐菌，恭喜张云彬拿下2024 QQ飞车年度总决赛冠军🏆

最近换了MacBook Pro，玩几台靶机找找手感，mac打还是因为环境不完善，慢慢磨合吧

外部端口信息收集

循例nmap

WEB信息收集

80端口

源码没藏东西

目录枚举

feroxbuster扫出wordpress

访问wordpress，将域名加入hosts

wpscan - 未授权sql盲注

wpscan扫出个插件有未授权sql盲注，同时还有其他需要认证的洞，常规思路应该就是先拿帐户密码登陆Wordpress然后用另一个需授权的洞获得初始访问权限

在这里我找到了PoC
https://github.com/Hacker5preme/Exploits/blob/main/Wordpress/CVE-2021-24946/exploit.py

不过我在检查PoC是否包含恶意代码时，发现它是直接调用了sqlmap，所以我们就直接跑sqlmap

我放弃了盲注，因为网络环境较高，等它跑完估计靶机都关了，所以我选择借助wp

好吧，数据库不会给我们有用的东西，并且指向了另一个攻击路径-> nginx

nginx配置错误 - 路径遍历/任意文件读取

在这里nginx经典的配置错误对我们有利

扫都不用扫了，照抄就行

常规先读nginx配置文件，发现另一个子域

加入hosts并访问

通过枚举wordpress的用户，我们可以找到在首页没有发帖子的帐户k2

弱口令k2:k2就进去了

从邮件中得到了一个密码

从另一封邮件可以得知这应该就是k2的密码

Foothold

登陆wp之后，从之前wpscan的结果中，我们就可以知道攻击路径是什么了

检查了PoC后，我发现导致任意文件上传的原因是在import上传文件时，action参数改成下图，将会绕过文件检查

我们直接传个常规php一句话

有python3，直接常规reverse shell

本地横向移动 www-data -> k2

home下有许多用户，看文件

将kdbx下到攻击机

用前面k2的两个凭据进行复用，可以到k2

本地横向移动 k2 -> kangchenjunga

在k2家目录的mail目录下看到Sent文件，很显然，我们需要利用lhotse的个人信息来爆破它的backup.kdbx

cupp吃灰这么久也是终于用一次

在Mac中，john并没有python或perl版本的keepass2john，幸好，有大佬转换了可用的版本

https://github.com/ivanmrsulja/keepass2john

但是john和hashcat仍然识别不到，有点晚了就不折腾了，也比较简单的事情，直接wp拿密码跳下一步吧

从kdbx读到kangchenjunga密码

su过去

本地权限提升

从.bash_history看到了泄漏了root密码，没啥意思