OSWE Blocky Write-up

本文最后更新于 2026年3月16日 下午

一、靶场详情

靶场名称:

Blocky

靶场地址:

https://www.hackthebox.com/machines/blocky

靶场环境连接说明:

演示为 HackTheBox 平台在线靶机,需通过 OpenVPN 客户端连接平台提供的 VPN 环境才能访问靶机。注意:平台新发布的靶机可以免费练习,而历史靶机则需要开通会员才能使用。还需要注意连接 HackTheBox 平台 VPN 需要挂载代理,具体方式可参考之前的历史文章或留言。

二、思路总结

突破边界(获取用户旗帜):

  1. Wordpress 枚举系统用户名。
  2. Java 反编译获取系统 SSH 密码。
  3. SSH 登录,在 notch 用户家目录得到旗帜:user.txt。

权限提升(获取管理员旗帜):

  1. sudo 切换至 root 用户权限。
  2. 管理员家目录得到旗帜:root.txt。

三、靶场攻击演示

3.1 靶场信息收集

注意: OSWE 考试过程中不需要对靶机进行服务信息收集,考试环境会直接提供相关信息。考试环境通常包含三台靶机:一台是最终需要获取 flag 的目标靶机,一台是与目标靶机环境完全相同的克隆靶机,用于漏洞分析和调试,最后一台是用于运行 PoC 的靶机,以避免因网络原因导致例如 SQL 盲注 等利用过程过慢,可以在第三台靶机上执行 PoC。

对于 HackTheBox 平台靶机我们依然需要执行 nmap 信息搜集。

TCP 端口扫描(端口和端口服务信息):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
sudo nmap -p- 10.129.6.70 --min-rate=2000
PORT      STATE  SERVICE
21/tcp    open   ftp
22/tcp    open   ssh
80/tcp    open   http
25565/tcp open   minecraft

sudo nmap -p21,22,80,25565 -sCV 10.129.6.70
PORT      STATE SERVICE   VERSION
21/tcp    open  ftp?
22/tcp    open  ssh       OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 d6:2b:99:b4:d5:e7:53:ce:2b:fc:b5:d7:9d:79:fb:a2 (RSA)
|   256 5d:7f:38:95:70:c9:be:ac:67:a0:1e:86:e7:97:84:03 (ECDSA)
|_  256 09:d5:c2:04:95:1a:90:ef:87:56:25:97:df:83:70:67 (ED25519)
80/tcp    open  http      Apache httpd 2.4.18
|_http-title: Did not follow redirect to http://blocky.htb
|_http-server-header: Apache/2.4.18 (Ubuntu)
25565/tcp open  minecraft Minecraft 1.11.2 (Protocol: 127, Message: A Minecraft Server, Users: 0/20)
Service Info: Host: 127.0.1.1; OS: Linux; CPE: cpe:/o:linux:linux_kernel

UDP 端口扫描(端口和端口服务信息):

1
2
# 扫描未发现可利用 UDP 端口
sudo nmap -p- -sU 10.129.6.70 --min-rate=2000

由此得出结论:

系统为 Linux 环境,开放有 HTTP、FTP 和 SSH 服务。

注意: 这台靶机非常简单,只用到一些的信息枚举,主要考察 java 反编译工具使用。

3.2 渗透测试突破边界

3.2.1 Java 反编译得到系统 SSH 密码

添加靶机域名解析。

1
echo "10.129.6.70\tblocky.htb" | sudo tee -a /etc/hosts

FTP 服务暴力破解没有得到有价值信息,HTTP 服务使用了 Wordpress 系统,可枚举系统用户信息。

1
wpscan --url http://blocky.htb/ --api-token $wp_token -e u

根据获取的用户名再次暴力破解依旧没有任何发现,枚举 Wordpress 路径可得到 plugins 目录,该目录存在两个 jar 包。

1
dirsearch -u http://blocky.htb/ -x 404

将文件下载至本地使用 jadx-gui 对 jar 包反编,在 BlockyCore.jar 源码可得到一组用户名密码,使用之前枚举的用户名加该密码可成功连接靶机 SSH。

1
https://github.com/skylot/jadx

3.2.2 用户旗帜获取

3.3 提权获取系统最高权限

3.3.1 Sudo 提权至系统 root 用户权限

由于当前用户属于 sudo 组可直接提升至 root 权限。

1
2
sudo -l
sudo su

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡

最后,祝您生活愉快!🌞✨

OffSec OSWE
#Linux #Java jar 反编译
OSWE Blocky Write-up
https://www.f0nesec.top/2026/03/16/oswe-blocky/
作者
F0ne
发布于
2026年3月16日
许可协议