本文共 1009 字，大约阅读时间需要 3 分钟。

靶机过程概述

1. nmap端口扫描，分别开放了邮件服务、网站服务、ssh服务


2. 网站运行的是WordPress，根据ssl证书信息获取了三个域名信息，加入hosts文件。


3. 使用wpscan扫描，获取了admin和administrator用户信息和具有漏洞的插件信息，利用漏洞进入admin后台页面。


4. 进入后台页面，进入“Easy WP SMTP”插件设置界面，可以看到密码框中有隐藏显示的密码，F12通过源码查看明文的密码。


5. 登录邮箱，通过邮件内容获取orestis账号信息。


6. 登录sup3rs3cr3t.brainfuck.htb网站，获取sshkey。


7. 这里涉及了密文解密的过程，通过解密网站：http://rumkin.com/获取ssh key下载链接，下载文件到本地。


8. 文件有密码保护，用john工具和rockyou字典进行破解，获得密码。


9. ssh登录靶机，获取user.txt。


10. root.txt信息被加密了，需要破解，根据encrypt.sage文件里的加密算法网上找下解密的脚本，获取root.txt。

关键步骤

枚举用户与有漏洞的插件

$ wpscan --url https://DOMAINorIP -e vp,u --disable-tls-checks -o wpscan.txt# --url ,指定需要扫描的WordPress网站域名或IP# -e，指定枚举模块，vp指定扫描有漏洞的插件，u指定扫描用户，t指定扫描主题# --disable-tls-checks，跳过tls检查，当某些tls连接有问题场景下使用#-o，指定扫描结果输出到文件

ssh key获取和破解

$ wget https://10.10.10.17/8ba5aa10e915218697d1c658cdee0bb8/orestis/id_rsa --no-check-certificate# --no-check-certificate，忽略证书问题，避免证书不可信导致的无法下载问题。

$ /usr/share/john/ssh2john.py id_rsa > id_rsa2# 使用ssh2john.py将密钥信息转换为john可识别信息$ john id_rsa2 --wordlist=/usr/share/wordlists/rockyou.txt# 使用john和rockyou字典破解密钥