Hack The Box

免责声明 服务发现 连个web服务都没有，一下子有点懵。。 8500端口不太常见，尝试在浏览器上打开，非常慢，但是存在一个文件遍历漏洞 下面路径是一个cms的登录页面 看title上的cms名字：Co

免责声明 服务发现 由开启服务得知，也是一个以web渗透为主的靶机，照例先看看web上有什么文件信息 80端口目录扫描 dev目录下有两个文件 下载到本地待分析。 文件内容 notes.txt： hy

免责声明 服务探测 80端口有一个cms的登录页面 cms名称： Pi-hole 版本： Pi-hole Version v3.1.4 Web Interface Version v3.1 FTL V

免责声明 服务发现 目录爆破 只有一个index页面，打开页面显示 查看网页源代码，有一行注释 打开/nibbleblog/显示一个博客 python3 dirsearch.py -e* -t 100

免责声明 服务探测 只开了http服务，那只能从web入手了 目录爆破 另外用dirserch找到一个文件Changelog.txt 说更新防火墙失败，已经修改了三个漏洞中的两个。 意思是还有一个漏洞

免责声明 服务探测 开了好多端口，现实当中端口越多漏洞越多，但是具体到这些靶机，很可能意味着很多兔子洞，所以枚举的时候一定要小心分辨 先用gobuster爆破80端口目录看看，需要主要要加-k跳过ss

免责声明 服务探测 开启了很多服务，ftp，ssh，http，smb等等，一个个看。 80端口打开跳转到一个nvms的登录页面，登录账号未知 测试发现ftp可以匿名登录，那就先从ftp开始 ftp匿名

免责声明 服务探测 手机访问80端口，跳转到了一个叫horizontall.htb的域名 我们先把这个域名添加到/etc/hosts 爆破目录 只有几个文件夹，没啥有用的发现 vhost爆破 这里我卡

免责声明 服务探测 目录爆破 爆出了很多文件，一个个查看 readme.md文件 说是有一个sql文件，我们浏览器打开table.sql，下载到本地。没有暴露出密码，不过我们至少知道了表结构和字段 /

免责声明 服务探测 可以看见开启了很多服务，http，SMB，ldap等 enum4linux没有发现可以匿名登录的分享文件夹 目录爆破没有可以利用的信息 活动目录 浏览器打开80端口服务，首页是一个

免责声明 服务探测 23端口开了一个telnet服务，nc连上去看看 问候语是HP JetDirect,查了一下是惠普的打印机 需要一个密码才能登陆telnet，但是不需要账号 根据HP JetDir

免责声明 服务探测 80端口打开就是一个简单页面 目录爆破 居然只有一个静态页面，这就有点郁闷了 再换个强大点的字典: 只有一个cgi-bin文件夹，我们用gobuster，指定.php,.sh,.h

免责声明 服务探测 开了ftp，ssh，http三个服务 80端口打开是一个wordpress站点 ftp端口貌似存在一个远程执行漏洞 把36803.py拷贝到当前目录，exp要求一个可写web目录，

免责声明 服务探测 目录爆破 只有几个文件，查网页源代码无特别发现 index页面需要输入一个名字，点击确定以后会跳到另一个页面，显示我们刚才输入的名字，也就是说很可能是经过数据库的 所以会不会有sq

免责声明 服务探测 服务枚举分析 ftp不可以匿名登录 爆破目录没啥发现 80服务打开是一个像网络管理之类的后台（无需登录），展示了三个栏目分别对应ifconfig，netstat和截取流量服务（可以

免责声明 服务探测 目录爆破 好像没有啥特别有用的页面或者目录 源代码审查 没看出来有啥有用的东西 软件版本枚举 80端口是一个叫EMA的网站展示页，查了一下，EMA就是Emergent Medica