Hack The Box —— Blocky
信息搜集
nmap
nmap -T4 -A -v 10.10.10.37
Starting Nmap 7.80 ( https://nmap.org ) at 2019-09-06 10:37 CST
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.5a
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 d6:2b:99:b4:d5:e7:53:ce:2b:fc:b5:d7:9d:79:fb:a2 (RSA)
| 256 5d:7f:38:95:70:c9:be:ac:67:a0:1e:86:e7:97:84:03 (ECDSA)
|_ 256 09:d5:c2:04:95:1a:90:ef:87:56:25:97:df:83:70:67 (ED25519)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-generator: WordPress 4.8
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: BlockyCraft – Under Construction!
8192/tcp closed sophos
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
开放了 21、22、80 端口。
尝试搜索 ProFTPD 1.3.5a 版本的漏洞,发现 未授权文件复制 漏洞,利用 msf 测试,无法利用。
访问 80 端口,是一个简单的 WordPress 站点, 利用 wpscan 工具进行扫描:
wpscan --enumerate t --enumerate p --enumerate u --url=http://10.10.10.37/
得到以下信息:
| 用户名 | notch |
|---|---|
| 主题 | twentyseventeen |
| 插件 | akismet - v3.3.2 |
未发现相关漏洞。
目录爆破
使用 dirbuster 工具,得到以下结果:
发现了一个 plugins 目录,由于正常的 wp 插件目录存放在 wp-content/plugins 下,访问
该目录,得到两个 jar 包:
将 jar 包下载到本地,反编译,得到数据库的用户名的密码:
尝试使用该密码登录 phpmyadmin ,发现成功登录:
漏洞利用
在现有的基础上,尝试使用 sql 语句 读文件,首先查看可读目录的范围:
show GLOBAL VARIABLES like "%secure_file_priv"
但是目录被限制,转而其它思路。
想到密码可能重复利用,遂利用 notch 账户和 mysql 的密码登录 ssh 。
发现可以登录。
查看 user.txt 获得第一个 flag。
尝试权限提升,但是试了好多方法都不行,突然想到再次用相同的密码切到 root 用户,发现成功切到 root。
查看 root.txt ,得到第二个 flag。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论