HTB——Buff

28 Apr 2025

0x01 信息收集

┌──────────────────────────────────────────────┐
│    ___                              _        │
│   / _ \     ___  ___ _ __ __ _  ___| | __    │
│  / /_\/____/ __|/ __| '__/ _` |/ __| |/ /    │
│ / /_\\_____\__ \ (__| | | (_| | (__|   <     │
│ \____/     |___/\___|_|  \__,_|\___|_|\_\    │
└──────────────────────────────────────────────┘
      Fscan Version: 2.0.0

[2025-04-28 10:03:48] [INFO] 暴力破解线程数: 1
[2025-04-28 10:03:48] [INFO] 开始信息扫描
[2025-04-28 10:03:48] [INFO] 最终有效主机数量: 1
[2025-04-28 10:03:48] [INFO] 开始主机扫描
[2025-04-28 10:03:48] [INFO] 有效端口数量: 233
[2025-04-28 10:03:52] [SUCCESS] 端口开放 10.129.25.107:7680
[2025-04-28 10:03:52] [SUCCESS] 端口开放 10.129.25.107:8080
[2025-04-28 10:03:58] [SUCCESS] 服务识别 10.129.25.107:8080 => [http]
[2025-04-28 10:04:08] [SUCCESS] 服务识别 10.129.25.107:7680 => 
[2025-04-28 10:04:08] [INFO] 存活端口数量: 2
[2025-04-28 10:04:08] [INFO] 开始漏洞扫描
[2025-04-28 10:04:08] [INFO] 加载的插件: webpoc, webtitle
[2025-04-28 10:04:10] [SUCCESS] 网站标题 http://10.129.25.107:8080 状态码:200 长度:4969   标题:mrb3n's Bro Hut
[2025-04-28 10:05:03] [SUCCESS] 扫描已完成: 4/4

8080端口是web服务，我们查看搭建的web服务是什么。查看contact.php显示使用的框架为Gym Management Software

上网搜一下发现有可以直接打的payload，我们直接利用即可

• daniboomberger/gymManagementSystemExploit: Rewrote Gym Management System exploit in python3

上线后使用nc来重新拿个正经shell,查看到本地有个cloudme在此用户文件夹内，且服务在本地监听8888端口。在网上找个exploit直接打就可以获取到root.txt了。