0x584A
  • Home
  • Article
  • Tags
  • Stats
  • Links
  • About.Me
  • Tools
Article

Noter Writeup

967 2023-07-03 15:34:11 HackTheBox HTB, SourceCodeAnalysis, node.js, MySql, Injection,

使用 Nmap 扫描目标服务器开放端口,发现 5000 端口存在 Web 服务。对其进行分析发现 Cookie 存在授信会话伪造,利用该风险结合用户枚举成功登录控制台。在控制消息列表中找到 FTP 登录账号,进一步在 FTP 文件 PDF 中找到默认口令生成规则,成功已 ftp_admin 身份得到 Web 服务源代码备份压缩包。经过代码审计成功找到命令注入,成功拿到初步的立足点。最终通过信息收集发现 mysql udf 攻击路径,完成权限提升。

Read More >>
  • 1
除非另有说明,本网站上的内容均根据 Creative Commons Attribution-ShareAlike License 4.0 International (CC BY-SA 4.0) 获得许可。
Github  Twitter  HackTheBox  T00ls  RSS订阅 个人公众号
Copyright © 2024 Powered by 0x584a
湘ICP备16006243号-1 | 湘公网安备43040502000177