Hack The Box —— Blocky

2019-09-06 约 193 字预计阅读 1 分钟

Hack The Box —— Blocky

信息搜集

nmap

1

nmap -T4 -A -v 10.10.10.37

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


Starting Nmap 7.80 ( https://nmap.org ) at 2019-09-06 10:37 CST
PORT     STATE  SERVICE VERSION
21/tcp   open   ftp     ProFTPD 1.3.5a
22/tcp   open   ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 d6:2b:99:b4:d5:e7:53:ce:2b:fc:b5:d7:9d:79:fb:a2 (RSA)
|   256 5d:7f:38:95:70:c9:be:ac:67:a0:1e:86:e7:97:84:03 (ECDSA)
|_  256 09:d5:c2:04:95:1a:90:ef:87:56:25:97:df:83:70:67 (ED25519)
80/tcp   open   http    Apache httpd 2.4.18 ((Ubuntu))
|_http-generator: WordPress 4.8
| http-methods:
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: BlockyCraft &#8211; Under Construction!
8192/tcp closed sophos
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

开放了21、22、80 端口。

尝试搜索 ProFTPD 1.3.5a 版本的漏洞，发现未授权文件复制漏洞，利用 msf 测试，无法利用。

访问 80 端口，是一个简单的 WordPress 站点，利用 wpscan 工具进行扫描：

1

wpscan --enumerate t --enumerate p --enumerate u --url=http://10.10.10.37/

得到以下信息：

用户名	notch
主题	twentyseventeen
插件	akismet - v3.3.2

未发现相关漏洞。

目录爆破

使用 dirbuster 工具，得到以下结果：

发现了一个 plugins 目录，由于正常的 wp 插件目录存放在 wp-content/plugins 下，访问

该目录，得到两个 jar 包：

将 jar 包下载到本地，反编译，得到数据库的用户名的密码：

尝试使用该密码登录 phpmyadmin，发现成功登录：

漏洞利用

在现有的基础上，尝试使用 sql语句 读文件，首先查看可读目录的范围：

1

show GLOBAL VARIABLES like "%secure_file_priv"

但是目录被限制，转而其它思路。

想到密码可能重复利用，遂利用 notch 账户和 mysql 的密码登录 ssh。

发现可以登录。

查看 user.txt 获得第一个 flag。

尝试权限提升，但是试了好多方法都不行，突然想到再次用相同的密码切到 root 用户，发现成功切到 root。

查看 root.txt，得到第二个 flag。