80/tcp open http
|_http-title: E-coin
443/tcp open https
|_http-title: Bad request!
| ssl-cert: Subject: commonName=localhost
| Not valid before: 2009-11-10T23:48:47
|_Not valid after: 2019-11-08T23:48:47
|_ssl-date: TLS randomness does not represent time
| tls-alpn:
|_ http/1.1
445/tcp open microsoft-ds
3306/tcp open mysql
Host script results:
|_smb-os-discovery: ERROR: Script execution failed (use -d to debug)
| smb-security-mode:
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2022-04-21T03:49:01
|_ start_date: 2022-04-21T03:48:06
image-20220421130031285
直接访问443和80都是这个界面,首先尝试定位指纹搜索一波,看到colorlib去看了看发现是wp的主题,大致搜索了一下没有什么利用点,3306限制了本地ip才可以访问,445也没有匿名点。
image-20220421130549268
目录搜集,确定两个有意思的点,user和admin目录。
image-20220421130206707
image-20220421130224316
image-20220421130234881
发现cookie里面的参数很简单,可以越权,这里尝试一下sql注入和越权看看能不能发现有趣的点,爆破了三十多个大致确定了只有横向越权的效果不能利用,于是寻找能不能xss的点。(比较cookie只是b64,我觉得暗示是挺明显的)
self-xss在注册处测试了一下并没有,登录进去的transfer开始测试。
image-20220421130819723
如果我们直接提交表单就会弹出来getdata下面的alert,但是数据包实实在在的是发送过去了,所以单独拿出来盲测一手。
image-20220421131007739
image-20220421131019601
没有等待太久,我们收到了回显,可以确定是xss拿cookie进入admin了。
利用script里的xhr绕过cors拿到cookie。
这里有点奇怪,不知道为什么我xhr拿不到,nc监听是报错。
image-20220421145422088
image-20220421145436191
于是换了个手法利用img了。