教你如何把HackTheBox里面的Luke“干掉”

与往常一样，第一步是对主机进行Nmap识别正在运行的服务：

从该输出中我们可以看到有许多开放的端口。我看到的第一个是FTP，因为它允许匿名登录。

如您所见，通过FTP托管了一个文件。这是给千寻人的txt文件。这似乎是FTP上所有可用的东西。接下来，我决定移至端口80。浏览至10.10.10.137以查看托管的内容。

向我介绍了基本的Bootstrap 4页面。源代码中没有隐藏任何内容，页面外也没有链接。接下来，我运行dirb来查找服务器上托管的其他目录和文件。

发现了目录的集合。我还使用dirbuster重新扫描并找到了/login.php和config.php。由于某种原因而被dirb抢走了。

当我浏览到config.php时，将返回以下内容：

现在，我们有了一个用户名和密码root：Zk6heYCyv6ZE9Xcg。/ management是发现的其他重要外观之一。当您浏览至此时，将显示HTTP基本身份验证对话框。目前在端口80上似乎没有其他任何东西。因此，我随后移至端口3000。

端口3000似乎是托管NodeJS应用的主机。当您尝试连接到它时，您会收到JSON响应：

我在端口3000上运行dirb尝试查找其他内容。

所有这些目录返回的JSON响应与原始目录非常相似，表明您需要进行身份验证。经过一番调查，我发现该应用程序正在使用JSON Web令牌。通过向身份验证服务器发送包含正确的用户名和密码的请求。服务器将使用令牌进行响应，然后可以使用令牌对应用程序进行身份验证。经过大量的试验和错误后，我设法使用以下字符串生成令牌请求：

如您所见，我使用CURL将POST请求发送到http://10.10.10.137:3000/login。POST请求中包含在端口80上找到的用户名和密码。服务器以令牌字符串响应。然后，我使用curl将令牌转发给应用程序。

发送后，服务器将显示消息“欢迎管理员！”。然后，我将同一令牌发送到与dirb找到的端口3000上的其他目录。

您可以看到/ users目录响应了一组用户名。管理员，德里，尤里和多莉。/ users / admin目录以Admin的用户名和密码作为响应。管理员：WX5b7）> / rp $ U）FW。然后，我将令牌发送给/ users中的3个用户。

所以毕竟，我有5套凭证

Dory：5y：！xa = ybfe）/ QD

Yuri：bet @ tester87

Derry：rZ86wwLvx7jUxtch

Admin：WX5b7）> / rp $ U）FW

root：Zk6heYCyv6ZE9Xcg

我回到端口80上的/ management，依次尝试了每个凭据。Derry用户能够登录。从这里，我们有一个目录，列出了3个不同的文件。Config.json，config.php和login.php。我打开config.json并显示以下内容：

您可以从此JSON输出中看到，我们现在有了另一个root用户密码。然后，我继续探索8000端口。

端口8000承载Ajenti登录页面。这是用于管理服务器的软件。我尝试使用前面步骤中捕获的6组凭据登录。来自config.json的root登录名允许我登录到该页面。

从这里，我可以单击左侧的终端。然后在计算机上生成Web浏览器终端会话。有了该终端的访问权限，我便可以将user.txt和root.txt都保存起来以完成计算机。

end