扫端口,开了80,445,8808
8808是个helloworld页面
445匿名用户没权限
先看80的web
弱密码没有,注入没有
注册个用户,登录看看
可以创建笔记
有个tyler@secnotes.htb提示有个用户tyler
插笔记处注入无解,xss无解
重置密码处看起来没法改别人的
可以社客服
可能模拟的客服会点击链接
随便填个链接试试
看一下密码重置的请求
转成get
丢到客服里
这样如果客服点这个,客服就会把自己的密码改成123456
之后使用用户tyler和密码123456成功登录
得到一个凭据
这里有另外一个方法
注入无解,应该是mysql_prepare了
考虑二次注入
注册个用户叫naivekun' or 1=1-- -+
登录
这应该是在查询notes的时候没有prepare,直接把用户名带着查的
可以看到所有人,包括管理员的notes
smbclient连进去
new-site???就是8808那个web
传个一句话
这里就可以拿到user.txt了
准备提权 这里很坑。。。windows10有个defender meterpreter必挂 只能用nishang或者nc弹回个powershell
ubuntu.zip
这是wsl
bash一下
已经是root
然而/mnt/c还是没权限
看看.bash_history
得到administrator的密码
psexec即可拿到shell
