分享一次面试靶场笔记

  • A+
所属分类:安全闲碎

1

某面试靶场writeup


拿到站之后访问发现是一个phpinfo页面,大致看了一下内容,然后扫描目录,进入到bbs目录下,发现是用discuz3.4框架搭建的


分享一次面试靶场笔记


分享一次面试靶场笔记

2

思路


第一时间想到的就是利用网上已知的一些版本漏洞去入手,查了下该版本漏洞大概为四个,一个是刚出没多久的任意代码执行,但是因为是要cookie参数中有language参数然后再进行构造payload的,抓包的话发现站点并不存在这个参数,猜测可能会不会隐藏了参数?手动构造依然无果。


第二种就是一个是越权登录,一个是ssrf,这两个感觉对getshell可能帮助不大,最多是利用ssrf看下能不能探测到一些内网的敏感信息,后面测试发现这个漏洞其中一个前提是要在windows的环境中才有可能触发。


最后一个任意文件删除漏洞,这个想了一下可以尝试删除install.lock文件,然后重置一遍站点在进后台getshell,尝试发现虽然在出生地的地方可以把要删除的文件的路径写上去,但是一直都无法删除install.lock文件。


分享一次面试靶场笔记


到这里一时间陷入的困境,对这种很成熟的框架,除了已经漏洞的利用,难道还是用0day?也有可能是漏洞利用的姿势不对,为此还特地下载了个同版本的框架,本地搭建复现了一下这个任意文件删除漏洞,发现本地搭建的环境也是无法删除到文件。


陷入僵局就先浏览了一下该框架,通过查看个人信息,可以发现原来有的几个账号,admin,whit,ceshizhanghao,发现了这三个账号,其中ceshizhanghao这个账号随便输入了一个弱口令123456竟然登录成功了,而且还是管理员的前台账号,但是回头一想前台的管理员账号也没有Getshell的点,然后就继续尝试这三个账号弱口令去登录后台的账号,发现还是不行,这就很难受了呀!!!


管理员账号:

ceshizhanghao 123456


分享一次面试靶场笔记


测试到这里就一直僵持了很久,没有入手点只能尽量的先收集一下信息了,把网址爬了一下,找到了一个bbs.tar.gz文件,下载下来发现是源码,在源码中找到了数据库账号密码


分享一次面试靶场笔记


但是没有对外开放端口,这样知道账号密码也没有用,后面突然发现了根目录下有个admin.php,还有个adminer.php,访问发现是一个类似数据库管理的软件,然后成功用账号密码登录进去,查找到了后台的账号密码


分享一次面试靶场笔记


分享一次面试靶场笔记


成功登录到后台


分享一次面试靶场笔记


后面在ucenter管理页面找到了一个本地文件包含漏洞可以成功利用


分享一次面试靶场笔记


成功拿下


分享一次面试靶场笔记


3

总结


因为是靶场,可能会有大佬有其他的更快速的解题思路,不过在我测试过程中,其实关键点就是在源码的下载上,一开始拿到这种框架的站点有点太固定思维想着去利用历史漏洞,导致浪费了不少时间,没有一开始就去下到这个源码文件,要不然可以少走很多没必要的路,然后还有个任意文件删除的漏洞当时因为赶时间没去深究,后面要在搭建研究一下是啥问题。


分享一次面试靶场笔记

【周度激励】


分享一次面试靶场笔记


【相关精选文章】


重置密码常用姿势总结

为了冰箱贴的一次渗透测试


火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火线小助手]加入。


我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!


欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!


分享一次面试靶场笔记
分享一次面试靶场笔记


本文始发于微信公众号(火线Zone):分享一次面试靶场笔记

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: