如何進行HTB-Luke實戰(zhàn)

這篇文章將為大家詳細講解有關如何進行HTB-Luke實戰(zhàn)，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

信息收集

打開10.10.10.137 發(fā)現(xiàn)就?個靜態(tài)???般我習慣先看?下源碼發(fā)現(xiàn)是?個靜態(tài)???了

Bootstrap 4

端口測試

• 21/tcp ftp

• 22/tcp ssh

• 80/tcp http

• 3000/tcp ppp

• 8000/tcp http-alt

1. 10.10.10.137:8000 ?個Ajenti登陸??

2. 10.10.10.137:3000返回

{"success":false,"message":"Auth token is not supplied"}

目錄遍歷

習慣?dirsearch.py 分別對80、3000進??錄遍歷

80端?發(fā)現(xiàn)

[]  - B - /.ht_wsr.txt
[]  - B - /.htaccess-dev
[]  - B - /.htaccess-local
[]  - B - /.hta
[]  - B - /.htaccess-marco
[]  - B - /.htaccess.bak1
[]  - B - /.htaccess.BAK
[]  - B - /.htaccess.old
[]  - B - /.htaccessOLD
[]  - B - /.htaccess.orig[::]  - B - /.htaccess_orig
[]  - B - /.htaccess.sample
[]  - B - /.htaccess.txt
[]  - B - /.htaccess_sc
[]  - B - /.htaccessBAK
[]  - B - /.htaccess_extra
[]  - B - /.htaccess.save
[]  - B - /.htpasswd-old
[]  - B - /.htaccess~
[]  - B - /.htpasswds
[]  - B - /.htpasswd_test
[]  - B - /.htaccessOLD2
[]  - B - /.htgroup
[]  - B - /.htusers
[]  - B - /config.php
[]  - B - /css -> http:
[]  - KB - /index.html
[]  - B - /js -> http:
[]  - KB - /login.php
[]  - B - /management
[]  - B - /management/
[]  - B - /member -> http:
[]  - KB - /package.json
[]  - KB - /README.md

其中 /management 和 login.php 也是?個登陸??? /config.php 包括了mysql賬號密碼

$dbHost = ; $dbUsername = ; $dbPassword = ;
$db = ; $conn =  mysqli($dbHost, $dbUsername, $dbPassword,$db) 
(. $conn -> error);

3000端?發(fā)現(xiàn)

[::] Starting:
[::]  - B - /login
[::]  - B - /Login
[::]  - B - 
[::]  - B - 
[::]  - B - /users
[::]  - B - /users/admin
[::]  - B - 其中 /login 返回  , users 也是返回 {:,:}

整合信息

三個登陸??

10.10.10.137:8000、10.10.10.137/login.php、10.10.10.137/management

?個mysql賬號密碼root/Zk6heYCyv6ZE9Xcg

10.10.10.137:3000返回信息

{:,:}

10.10.10.137:3000/login返回

"please auth"

具體分析

突破?在

在 "Auth token is not supplied"

Google?下發(fā)現(xiàn)是jwt認證失敗的?個返回信息因此推測應該構造認證信息post到

10.10.10.137:3000然后獲取到?戶憑證接著?這個?戶憑證去請求

10.10.10.137:3000/users。

這?post的?戶信息?概就是上?的mysql賬戶密碼因為只有這?個可以?了?且這個賬戶信息嘗試

登陸在?個登陸??以及mysql服務端均沒有成功。

使?curl

curl -s -X POST -H 'Accept: application/json' -H 'Content-Type:
application/json' --data '{:,:}'

回顯信息

Error


SyntaxError: Unexpected token r in JSON at position 11 &ampnbsp;
&ampnbsp;at JSON.parse (&amplt;anonymous&ampgt;) &ampnbsp; &ampnbsp;at parse
(/nodeapp/node_modules/body-parser/lib/types/json.js:89:19) &ampnbsp;
&ampnbsp;at /nodeapp/node_modules/body-parser/lib/read.js:121:18 &ampnbsp;
&ampnbsp;at invokeCallback (/nodeapp/node_modules/raw-body/index.js:224:16)
&ampnbsp; &ampnbsp;at done (/nodeapp/node_modules/raw-body/index.js:213:7)
&ampnbsp; &ampnbsp;at IncomingMessage.onEnd (/nodeapp/node_modules/rawbody/index.js:273:7) &ampnbsp; &ampnbsp;at IncomingMessage.emit
(events.js:202:15) &ampnbsp; &ampnbsp;at endReadableNT
(_stream_readable.js:1132:12) &ampnbsp; &ampnbsp;at processTicksAndRejections
(internal/process/next_tick.js:76:17)

不知道是什么原因估計是curl哪?構造錯了但是可以確定的是思路是對的換?postman發(fā)送json

請求

獲取到admin的

token

3

?這個token請求/users和/users/{user}

 -H  -H 
https://10.10.10.137:3000/users

獲取到

[{:,:,:},
{:,:,:},
{:,:,:},
{:,:,:}]
{:,:}%
{:,:}%
{:,:}%
{:,:

登陸到http://10.10.10.137/management訪問http://10.10.10.137/management/config.json
獲取到root/KpMasng6S5EtTy9Z的賬戶信息最后登陸到

10

flag:8448343028fadde1e2a1b0a44d01e650

提權

直接?root/KpMasng6S5EtTy9Z登陸ssh不?說明這只是web的賬號。但是ajenti服務是具有root權
限的也說明可以任意操作了。
?File Manager翻了?下配置?件可以直接找到ssh的配置?件/etc/sshd_config并且有編輯的權限。
那么修改配置項

PermitRootLogin yes

重新啟動ssh服務再試?下登陸ssh發(fā)現(xiàn)還是不?可能root
密碼并不是web賬戶密碼這?有Users打開并直接重置root密碼不需要舊密碼重置

ssh登陸

關于如何進行HTB-Luke實戰(zhàn)就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。