对IP进行信息收集,nmap和fscan扫描出只开了22和5000端口
5000端口是一个web,暂时看不出什么
扫描出两个路径,/dashborad和/support
提示未登录
这个页面只有几个输入框和一个提交按钮,想到了xss?
BP启动!
完蛋,有waf
仔细观察下来cookie的值is_admin,加上waf上面写着IP已经被标胶,一份包含你浏览器信息的报告会发送给管理员
再集合/dashbord目录下提示未登录,应该是通过xss管理员的cookie值,然后再去访问/dashbord这个目录。
本地用python监听一个端口
在BP抓取的请求头信息中添加xss的payload,原有输入框的语句不变,要触发waf,才能利用xss获取到管理员cookie
在监听的端口成果获取到管理员的cookie
利用 管理员cookie访问/dashboard页面,页面提示根据日期生成网站运行状况,点击生成后提示系统已启动并运行。
跟系统有关,命令注入尝试,通过BP抓包并在日期后面加上;ls
可以看到执行了ls并放回了当前目录下的文件。
查看当前目录,并在用户目录下得到flag
在本地新建一个rev.sh脚本,在脚本内添加反弹shell语句,通过curl下载到靶机并运行
成功获取到shell
使用sudo -l查看到有个syscheck文件可以以root身份运行
可以看到脚本中调用了一个initdb.sh脚本
同样在本地新建一个initdb.sh脚本,在脚本中添加反弹shell,使用sudo /usr/bin/syscheck来调用这个脚本,成功提权到root
root flag在/root下,总体挺简单的。
标签:脚本,xss,HTB,writeup,端口,Headless,cookie,管理员,root From: https://www.cnblogs.com/C1ayblog/p/18128439