目标IP:10.129.61.214 |难度:中等 |最终权限:root本攻略以通俗易懂的方式记录从信息收集到提权root的完整过程。信息收集 —— 全面侦查与资产发现📌 1.1 全端口扫描首先使用nmap对目标IP进行全 TCP 端口扫描,目的是发现所有开放的服务,不遗漏任何可能的后门端口。⚙️执行命令:nmap -p-65535 -T4 --min-rate=1000 -sS -Pn 10.129.61.214参数解释:-p-65535:扫描全部 65535 个 TCP 端口。-T4:速度模板,加快扫描。--min-rate=1000:最低发包速率,确保不因网络波动漏掉端口。-sS:SYN 扫描,不易被记录。-Pn:跳过主机存活探测,直接扫描。📤 扫描输出:PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 6274/tcp open unknown🔍发现:22端口(SSH)、80端口(HTTP)、6274端口(未知服务)。6274端口未在默认服务库中,可能是自定义应用,值得重点关注。📌 1.2 Web 指纹与域名识别访问http://10.129.61.214时浏览器自动跳转到http://devhub.htb,说明该服务器托管了一个域名。为了能正常访问,我们在本地/etc/hosts添加解析:echo "10.129.61.214 devhub.htb" /etc/hosts再次访问首页,返回一个介绍页面,标题为“DevHub - Internal Development Platform”,其中列出了内部服务清单:🔹 MCP Inspector (端口 6274)🔹 Analytics Dashboard (仅内部访问,localhost:8888)🔹 Code Repository (内部Git服务)这说明目标内部还有 Jupyter 等附加服务,为后续横向移动埋下伏笔。同时,通过响应头得知Web服务器为Nginx 1.18.0,操作系统为Ubuntu。📌 1.3 6274端口深度探测对6274端口进行服务版本和默认脚本扫描:⚙️命令:nmap -sV -sC -p 6274 10.129.61.214📤 关键输出:PORT STATE SERVICE VERSION 6274/tcp open unknown | fingerprint-strings: | GetRequest: | HTTP/1.1 200 OK | ... | titleMCPJam Inspector/title | script type="module" crossorigin/script | ... | HTTPOptions: | HTTP/1.1 204 No Content | access-control-allow-methods: GET,HEAD,PUT,POST,DELETE,PATCH从指纹中获取到应用名称MCPJam Inspector,并直接看到了前端JS文件路径。进一步访问该页面,确认版本为v1.4.2。🧠思路:发现明确的组件及版本号(MCPJam Inspector v1.4.2)后,下一步将针对该版本搜索已知漏洞。📌 1.4 前端 JavaScript 审计下载前端JS文件进行分析,查找隐藏的API端点、密钥或其他敏感信息。⚙️命令:curl -s http://devhub.htb:6274/assets/index-DRYhT9Xb.js -o index.js提取内部URL和潜在硬编码字符串:grep -oE 'https?://[^"'\'' ]+' index.js | sort -u urls.txt head -20 urls.txt虽未直接发现密钥,但JS中包含诸多API端点,例如/api/mcp/connect、/api/mcp/ser
)
