Hack The Box —— Blocky


Hack The Box —— Blocky

信息搜集

nmap

nmap -T4 -A -v 10.10.10.37
Starting Nmap 7.80 ( https://nmap.org ) at 2019-09-06 10:37 CST
PORT     STATE  SERVICE VERSION
21/tcp   open   ftp     ProFTPD 1.3.5a
22/tcp   open   ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 d6:2b:99:b4:d5:e7:53:ce:2b:fc:b5:d7:9d:79:fb:a2 (RSA)
|   256 5d:7f:38:95:70:c9:be:ac:67:a0:1e:86:e7:97:84:03 (ECDSA)
|_  256 09:d5:c2:04:95:1a:90:ef:87:56:25:97:df:83:70:67 (ED25519)
80/tcp   open   http    Apache httpd 2.4.18 ((Ubuntu))
|_http-generator: WordPress 4.8
| http-methods:
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: BlockyCraft – Under Construction!
8192/tcp closed sophos
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

开放了21、22、80 端口。

尝试搜索 ProFTPD 1.3.5a 版本的漏洞,发现未授权文件复制漏洞,利用 msf 测试,无法利用。

访问 80 端口,是一个简单的 WordPress 站点, 利用 wpscan 工具进行扫描:

wpscan --enumerate t --enumerate p --enumerate u --url=http://10.10.10.37/

得到以下信息:

用户名 notch
主题 twentyseventeen
插件 akismet - v3.3.2

未发现相关漏洞。

目录爆破

使用 dirbuster 工具,得到以下结果:

发现了一个 plugins 目录,由于正常的 wp 插件目录存放在 wp-content/plugins 下,访问

该目录,得到两个 jar 包:

将 jar 包下载到本地,反编译,得到数据库的用户名的密码:

尝试使用该密码登录 phpmyadmin,发现成功登录:

漏洞利用

在现有的基础上,尝试使用 sql语句 读文件,首先查看可读目录的范围:

show GLOBAL VARIABLES like "%secure_file_priv"

但是目录被限制,转而其它思路。

想到密码可能重复利用,遂利用 notch 账户和 mysql 的密码登录 ssh

发现可以登录。

查看 user.txt 获得第一个 flag。

尝试权限提升,但是试了好多方法都不行,突然想到再次用相同的密码切到 root 用户,发现成功切到 root。

查看 root.txt,得到第二个 flag。


文章作者: Geekby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Geekby !
 上一篇
Hack The Box —— Help Hack The Box —— Help
Hack The Box —— Help 信息搜集nmapnmap -T4 -A -v 10.10.10.121 发现 22、80、3000 端口开放,访问 80 端口,是一个 apache 默认页面。 目录爆破利用 dirbuster 爆
2019-09-06
下一篇 
Hack The Box —— Tenten Hack The Box —— Tenten
Hack The Box —— Tenten 信息搜集nmapnmap -T4 -A -v 10.10.10.6发现服务器开了 22 端口和 80 端口浏览器访问 http 服务,发现 wordpress 站点。 漏洞扫描利用 wpscan
2019-09-05
  目录