本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.29
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令
autorecon 10.10.10.29 -o ./bank-autorecon
或者
扫描目标
nmap -sS -T4 -p- 10.10.10.29 (先探开放了哪些端口)
nmap -sS -A -sC -sV -T4 -p 22,53,80 10.10.10.29 (再根据开放的端口详细探测端口信息)
最终的扫描结果
开放了3个端口,看到有53的dns端口,先不管,直接绑定hosts
echo "10.10.10.29 bank.htb" | sudo tee -a /etc/hosts
绑定好hosts之后试了下dns区域传送漏洞,发现不可利用 https://www.acunetix.com/blog/articles/dns-zone-transfers-axfr/
跑下目录看看
跑目录和文件,可以输出到文件里面好查看跑出来了哪些可以用的信息
gobuster dir -u http://bank.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -o bmfx-bank.gobusters -t 100 (目录和后缀都爆破)
访问了上面的每个页面,其中访问/balance-transfer ,发现了很多文件,点击了其中一个文件显示如下:
从上面信息查看,是加密的文件,显示是加密成功的,大小都是58x ,我仔细比对了下,在火狐浏览器上查找58数字并高亮显示,发现有一个数字显示很小
访问上述大小为257的acc后缀文件,得到如下结果
然后访问http://bank.htb/login.php 使用上面的得到的账号密码登录,登录进去找到了support.php文件,发现可以上传,但是上传php格式的文件显示失败,查看其源代码发现如下信息
知道了目标靶机是可以通过上传后缀为htb的格式就可以解析为php格式的文件,直接上传此格式的文件
成功反弹shell
得到shell使用LinEnum.sh进行枚举目标靶机可提权的信息,发现了二进制setuid文件,可直接执行提权
执行提权