• HTB-靶机-Blocky


    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.37

    本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

    执行命令

    autorecon 10.10.10.37 -o ./blocky-autorecon

    最终的扫描结果

    先爆破下web应用的80端口,得到如下目录

    每个都试了下,发现WordPress后台登录地址,phpmyadmin后台登录地址,没发现什么特别的,当访问plugins的时候页面全黑,看不清楚

    通过burpsuite抓包看看源代码信息,或者右键查看网页源代码信息

    标题是Cute file browser,显示没有文件在这里,把标题拿到百度搜索下

     根据这类提示,加了个files路径,得到如下结果,有两个jar文件;

    (另外这里也可以傻瓜思路就是直接拿到爆破的记过继续子目录爆破命令可以是:gobuster dir -u http://10.10.10.37/plugins/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x jar -o bmfx-blocky-plugins.gobusters -t 100 同样也是可以得到想要的结果)

    将这里两个文件下载下来

    wget http://10.10.10.37/plugins/files/BlockyCore.jar
    wget http://10.10.10.37/plugins/files/griefprevention-1.11.2-3.1.1.298.jar

    得知这两个文件是jar包,使用jd-gui进行反编译查看源代码,下载地址:https://github.com/java-decompiler/jd-gui

    打开之后发现了root密码和账号,猜测这个一般是数据库的账号和密码,尝试登陆WordPress后台,但是没有成功,是wpscan进行扫描下目标WordPress

    wpscan --url http://10.10.10.37 -e ap,t,tt,u --api-token pFokhQNG8ZFEmmntdfHfTYnrYdnvJHKtVtDuHTqTqBc

    将上述得到的用户notch使用ssh进行登陆,密码就是上面反编译得到的而密码

    居然成功了, 赶紧看看了下user.txt 然后顺便执行下sudo -l

    醉了,可以直接切到root了

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    改造vant日期选择
    css3元素垂直居中
    npm综合
    (转)网页加水印方法
    Mac下IDEA自带MAVEN插件的全局环境配置
    隐藏注册控件窗口
    High performance optimization and acceleration for randomWalk, deepwalk, node2vec (Python)
    How to add conda env into jupyter notebook installed by pip
    The Power of WordNet and How to Use It in Python
    背单词app测评,2018年
  • 原文地址:https://www.cnblogs.com/autopwn/p/13969389.html
Copyright © 2020-2023  润新知