HTB-靶机-Bank

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.29

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令

autorecon 10.10.10.29 -o ./bank-autorecon

或者

扫描目标
nmap -sS -T4 -p- 10.10.10.29 (先探开放了哪些端口)
nmap -sS -A -sC -sV -T4 -p 22,53,80 10.10.10.29 (再根据开放的端口详细探测端口信息)

最终的扫描结果

开放了3个端口，看到有53的dns端口，先不管，直接绑定hosts

echo "10.10.10.29 bank.htb" | sudo tee -a /etc/hosts

绑定好hosts之后试了下dns区域传送漏洞，发现不可利用  https://www.acunetix.com/blog/articles/dns-zone-transfers-axfr/

跑下目录看看

跑目录和文件，可以输出到文件里面好查看跑出来了哪些可以用的信息
gobuster dir -u http://bank.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -o bmfx-bank.gobusters -t 100 (目录和后缀都爆破)

访问了上面的每个页面，其中访问/balance-transfer ，发现了很多文件，点击了其中一个文件显示如下：

 从上面信息查看，是加密的文件，显示是加密成功的，大小都是58x ，我仔细比对了下，在火狐浏览器上查找58数字并高亮显示，发现有一个数字显示很小

 

访问上述大小为257的acc后缀文件，得到如下结果

然后访问http://bank.htb/login.php 使用上面的得到的账号密码登录，登录进去找到了support.php文件，发现可以上传，但是上传php格式的文件显示失败，查看其源代码发现如下信息

知道了目标靶机是可以通过上传后缀为htb的格式就可以解析为php格式的文件，直接上传此格式的文件

成功反弹shell

得到shell使用LinEnum.sh进行枚举目标靶机可提权的信息，发现了二进制setuid文件，可直接执行提权

执行提权