three
1. 扫描
2. 访问http服务,并测试功能点
联系方式留有电话和邮箱,得知target的域名
3. 寻找其他子域名
gobuster下的vhost模块能够枚举虚拟主机,尝试用不同的hostname发现服务器IP上其他host
使用方法如下:
gobuster vhost -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u http://thetoppers.htb
插叙,这里使用的seclists可以在GitHub中找到,也可以直接在kali中下载
在这里,gobuster无法扫描出结果;寻找替代工具
BurpSuit、nmap都可以实现
nmap -p80 --script http-vhost -iL /path/to/targets.txt
但是nmap只能列举主机数量,无法查看
换了其他工具如fuff也扫不到结果,只能略过该步骤。最终要得到的是s3.thetoppers.htb
4. S3 bucket
添加hosts后,进行访问
从s3得知S3 bucket,是一个存储桶,要用工具awscli进行连接
S3 Bucket是亚马逊AWS提供的产品,专门用于AWS上的对象存储。
apt install awscli
配置aws:aws configure,随意输入即可
连接查看:aws --endpoint=http://s3.thetoppers.htb s3 ls
访问:aws --endpoint=http://s3.thetoppers.htb s3 ls s3://thetoppers.htb
5. 上传webshell
在这里,有一个地方值得关注:eval()函数是在PHP代码环境中执行代码;而system()直接执行操作系统命令
6. 拿到flag
