HTBStocker

先看80端口。

没有让人眼前一亮的目录。

但是有子域名。

子域名是一个登录功能。

对其进行简单的sql注入测试&＃xff0c;发现并不存在sql注入&＃xff0c;尝试非sql注入方法绕过登录&＃xff0c;NoSQL。经过测试&＃xff0c;使用json格式{"username": {"$ne": null}, "password": {"$ne": null} }可以绕过登录。

登陆后是一个在线购物的功能。

添加物品到购物车&＃xff0c;然后抓包并提交订单。可以看到json传输了一些物品的相关信息等。

我们可以点超链接获取订单。

有订购人信息&＃xff0c;物品信息&＃xff0c;可以知道订购人是Angoose。

先尝试了lfi。

看样子成功了&＃xff0c;但是没办法点击这个超链接。

在寻找解决方法的时候找到了这个iframe标签&＃xff0c;可以直接显示。

试试。


将提交订单抓到的包放进burp suite的repeater里&＃xff0c;然后想办法让其报错。

现在有了/var/www/dev这个路径&＃xff0c;试试找到dev的主页&＃xff0c;主页是index.js。

这一串是mongodb数据库有关的东西&＃xff0c;可能一看就会发现dev:dev:IHeardPassphrasesArePrettySecure像极了登陆凭证。

const dbURI &＃61; "mongodb://dev:IHeardPassphrasesArePrettySecure&＃64;localhost/dev?authSource&＃61;admin&w&＃61;1";


去搜索得知我们猜想是对的。

前面获取的凭证登录ssh&＃xff0c;哦账号别忘了是angoose&＃xff0c;因为前面看passwd知道的。

看到这个&＃xff0c;猜测不出意外应该很简单&＃xff0c;但是不能轻敌。

这里面是正常的脚本没有写入权限。

scripts也没有写入权限。

在开始想解决办法的时候&＃xff0c;我想先试试换个目录。

那么现在开始提权。

奇了怪了。

把星号换成root就可以了。