题目没有给太多的描述,但是根据硬币,复古的得知这是一个像素,复古,FC游戏的爱好者,之前游戏厅里的游戏

信息收集

首先对靶机进行端口扫描

通过扫描得知一共开放803389这两个端口

访问80端口发现是IIS的默认页面

使用gobuster进行目录扫描

扫描到/retro目录,访问该页面

这里我访问了很多的页面,可以看出这是一个wordpress站点

访问wp-login.php使用adminadmin登录失败

使用wpscan扫描该站点

wpscan --url http://10.10.216.207/retro/wp-login.php -e ap at 

通过扫描得到wordpress版本为5.2.1

尝试枚举用户

wpscan --url http://10.10.216.207/retro/wp-login.php -e u 

根据扫描结果没有枚举到用户

通过访问博客的作者可以得到用户名为Wade

但是并不知道密码是什么,这是我们就需要用到一个工具cewl

cewl可以检索页面关键字生成相对应的用户名和字典

cewl http://10.10.216.207/retro/ -w dict.txt

接着我们使用用户名Wade,使用cewl生成的字典dict.txt对目标wp-login.php进行密码爆破

注:其实这里的用户名Wade可以不区分大小写,因为是windows机器默认不区分大小写

使用wpscan自带的用户名密码破解参数进行密码爆破

wpscan --url http://10.10.216.207/retro/wp-login.php -U Wade -P dict.txt -t 66


成功爆破出用户名Wade,密码为parzival

通过用户名和密码登录后台,本来想通过404.php获得reverse shell,但是我使用了另一种方法
如果需要使用404.php反弹shell需要找到404.php文件的位置:地址为http://target_ip/wp-content/themes/主题名/404.php
如果主题名称有空格,例如90s Retro,可能就是90s-Retro或者90sRetro

由于靶机开放3389端口,尝试使用用户名密码登录到靶机

xfreerdp /u:Wade /p:parzival /v:v +clipboard

+clipboard的意思是共享剪切板

登录成功,获取user.txt

权限提升

发现安装有Google chrome,打开发现收藏标签有一个NVD - CVE-2019-1388标签

我们复制到本地访问https://nvd.nist.gov/vuln/detail/CVE-2019-1388

提示我们证书提权,接着继续搜索,在youtube发现利用视频https://www.youtube.com/watch?v=3BQKpPNlTSo

接着在回收站发现hhupd程序,照着视频进行漏洞利用,由于靶机没有网络,无法访问链接,这个是没问题的,继续操作,但是不幸的是,我最后卡在了这个步骤:

这个提权方法我失败了,不过应该还有其他的提权方式,执行systeminfo获取目标操作系统为Microsoft Windows Server 2016 Standard版本号为10.0.14393 N/A Build 14393

搜索该版本相关的漏洞,并没有找到,但是找到一个提权常用的exploit
https://github.com/eonrickity/CVE-2017-0213


下载该脚本,使用python -m http.server 80共享exploit

运行得到system权限

读取root.txt