80/tcp   open  http
|_http-title: E-coin
443/tcp  open  https
|_http-title: Bad request!
| ssl-cert: Subject: commonName=localhost
| Not valid before: 2009-11-10T23:48:47
|_Not valid after:  2019-11-08T23:48:47
|_ssl-date: TLS randomness does not represent time
| tls-alpn:
|_  http/1.1
445/tcp  open  microsoft-ds
3306/tcp open  mysql

Host script results:
|_smb-os-discovery: ERROR: Script execution failed (use -d to debug)
| smb-security-mode:
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode:
|   2.02:
|_    Message signing enabled but not required
| smb2-time:
|   date: 2022-04-21T03:49:01
|_  start_date: 2022-04-21T03:48:06

image-20220421130031285

直接访问443和80都是这个界面，首先尝试定位指纹搜索一波，看到colorlib去看了看发现是wp的主题，大致搜索了一下没有什么利用点,3306限制了本地ip才可以访问，445也没有匿名点。

image-20220421130549268

目录搜集，确定两个有意思的点,user和admin目录。

image-20220421130206707

image-20220421130224316

image-20220421130234881

发现cookie里面的参数很简单，可以越权，这里尝试一下sql注入和越权看看能不能发现有趣的点，爆破了三十多个大致确定了只有横向越权的效果不能利用，于是寻找能不能xss的点。（比较cookie只是b64,我觉得暗示是挺明显的）

self-xss在注册处测试了一下并没有，登录进去的transfer开始测试。

image-20220421130819723

如果我们直接提交表单就会弹出来getdata下面的alert，但是数据包实实在在的是发送过去了，所以单独拿出来盲测一手。

image-20220421131007739

image-20220421131019601

没有等待太久，我们收到了回显，可以确定是xss拿cookie进入admin了。

利用script里的xhr绕过cors拿到cookie。

这里有点奇怪，不知道为什么我xhr拿不到,nc监听是报错。

image-20220421145422088

image-20220421145436191

于是换了个手法利用img了。