本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.37
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令
autorecon 10.10.10.37 -o ./blocky-autorecon
最终的扫描结果
先爆破下web应用的80端口,得到如下目录
每个都试了下,发现WordPress后台登录地址,phpmyadmin后台登录地址,没发现什么特别的,当访问plugins的时候页面全黑,看不清楚
通过burpsuite抓包看看源代码信息,或者右键查看网页源代码信息
标题是Cute file browser,显示没有文件在这里,把标题拿到百度搜索下
根据这类提示,加了个files路径,得到如下结果,有两个jar文件;
(另外这里也可以傻瓜思路就是直接拿到爆破的记过继续子目录爆破命令可以是:gobuster dir -u http://10.10.10.37/plugins/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x jar -o bmfx-blocky-plugins.gobusters -t 100 同样也是可以得到想要的结果)
将这里两个文件下载下来
wget http://10.10.10.37/plugins/files/BlockyCore.jar
wget http://10.10.10.37/plugins/files/griefprevention-1.11.2-3.1.1.298.jar
得知这两个文件是jar包,使用jd-gui进行反编译查看源代码,下载地址:https://github.com/java-decompiler/jd-gui
打开之后发现了root密码和账号,猜测这个一般是数据库的账号和密码,尝试登陆WordPress后台,但是没有成功,是wpscan进行扫描下目标WordPress
wpscan --url http://10.10.10.37 -e ap,t,tt,u --api-token pFokhQNG8ZFEmmntdfHfTYnrYdnvJHKtVtDuHTqTqBc
将上述得到的用户notch使用ssh进行登陆,密码就是上面反编译得到的而密码
居然成功了, 赶紧看看了下user.txt 然后顺便执行下sudo -l
醉了,可以直接切到root了