本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機是作者購買VIP使用退役靶機操作，顯示IP地址為10.10.10.37

本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描

執行命令

autorecon 10.10.10.37 -o ./blocky-autorecon

最終的掃描結果

先爆破下web應用的80埠，得到如下目錄

每個都試了下，發現WordPress後臺登入地址，phpmyadmin後臺登入地址，沒發現什麼特別的，當訪問plugins的時候頁面全黑，看不清楚

通過burpsuite抓包看看原始碼資訊，或者右鍵檢視網頁原始碼資訊

標題是Cute file browser，顯示沒有檔案在這裡，把標題拿到百度搜索下

根據這類提示，加了個files路徑，得到如下結果，有兩個jar檔案；

（另外這裡也可以傻瓜思路就是直接拿到爆破的記過繼續子目錄爆破命令可以是：gobuster dir -u http://10.10.10.37/plugins/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x jar -o bmfx-blocky-plugins.gobusters -t 100 同樣也是可以得到想要的結果）

將這裡兩個檔案下載下來

wget http://10.10.10.37/plugins/files/BlockyCore.jar
wget http:
 
//10.10.10.37/plugins/files/griefprevention-1.11.2-3.1.1.298.jar

得知這兩個檔案是jar包，使用jd-gui進行反編譯檢視原始碼，下載地址：https://github.com/java-decompiler/jd-gui

開啟之後發現了root密碼和賬號，猜測這個一般是資料庫的賬號和密碼，嘗試登陸WordPress後臺，但是沒有成功，是wpscan進行掃描下目標WordPress

wpscan --url http://10.10.10.37 -e ap,t,tt,u --api-token pFokhQNG8ZFEmmntdfHfTYnrYdnvJHKtVtDuHTqTqBc

將上述得到的使用者notch使用ssh進行登陸，密碼就是上面反編譯得到的而密碼

居然成功了， 趕緊看看了下user.txt 然後順便執行下sudo -l

醉了，可以直接切到root了