0x00:探测IP
首先打开时候长这个样,一开始感觉是迷惑行为,试了试/admin,/login这些发现都没有
随后F12查看网络,看到几个js文件带有传参,就丢sqlmap跑了一下无果
随后也反查了域名一下,发现没有域名,是阿里云的,这里突然醒悟,我第一步是信息收集。
kali linux启动,nmap 启动,直接常规扫描一波,发现开启了这么多,ftp和ssh可以爆破,但因为是靶场弱口令暂时不想了,smtp和pop3都是邮件服务,80是个幌子也不予考虑,8888是宝塔管理界面,得到信息这是宝塔搭建的,弱口令试了下无果,而且限制登陆次数,暂时先记下,8081重点,这里我第一次访问它貌似因为网络问题没有打开,所以我就以为不是,结果后来扫了全端口还是这几个......
访问8081端口,得到页面一个,搜了下,这个是宝塔创建完成的正常页面,使用御剑进行目录扫描
0x01:挖掘漏洞
这里一开始我并没有搞到路径,还是花哥给了test这个路径才开始的,主页很普通就正常的那些销售页面
虽然有跟数据库交互,但都已经写死了,你修改值可以,但是+ - *什么的都不会起作用,注入点无效,有留言板但是这靶场没有机器人访问,所以xss随手试了个简单的就扔了,搜索框也进行了xss和sql测试,无果
然后开始扫目录,刚开始扫的时候后面还没扫到,不过扫到了使用手册,直接去访问
这里需要将编码换成utf-8,这里看到了后台地址,我们直接去访问,得到后台地址
既然还没验证码什么的第一想法就是爆破了,但那之前先随手几个弱口令,admin/123456 admin/admin123,第二个直接进去了
管理员权限,奥里给,我们离成功很近了
0x02:挖掘后台信息
这里每个都要注意一下,细心很重要(至粗心大意的自己)
基本设置这里,发现可以控制上传文件后缀,自然把.PHP加上去
这里看到了数据库备份,但有提醒别乱搞就没碰,并没有看到明显的上传点,
在到处溜达了一下在系统信息这里看到了sql语句执行,自然就想到了mysql写一句话
并且在系统信息部分我们拿到了绝对路径出来,从路径看这是个linux系统
然后就是写文件,这里用了outfile和dumpfile,结果都不行,写txt也不行,陷入沉思这到底是什么情况
语句:select ‘<?php @eval($_POST[cmd]);?>’ INTO OUTFILE ‘/www/wwwroot/39.xx.xx.52/test/cmd.php’
回到扫描器,发现,哦吼phpinfo,居然没删,
这里我以为绝对路径错了,仔细检查后发现没错,然后继续沉思,到底哪里出问题了,后来有小道消息说这是考文件上传的,那这么说都没开启写文件啊
0x03:寻找文件上传功能点
发现疑似可以利用的地方,虽然这里说是上传图片,不过类型都被我改了上传啥还不是咱说了算,上传试试
此处注意要允许运行flash,不然会无法点击选择文件之类的东西
选择我们的一句话,冲啊
成功上传,等等似乎不对,这样我没路径上传了:
抓包重来,这里我们并没看到啥可利用的信息,看来要抓返回包,右键选择它即可抓返回包
从返回中我们得到路径,直接getshell (这里我之前做的时候它每次都让我登录,所以我就放弃了这个点,结果写文章时候他又可以了)
0x04:备用方法
下面是如果上面的失败,如何操作,找到栏目管理,修改任意一个
这里也有一个一样的上传点,但我们现在的就是那个走不通,可以看到下面有个编辑器,我们选择附件
选择我们的一句话,注意这里也要允许运行flash才可以,不然会报错
直接上传上去
发现这里多了一个,说明传上去了,然后哦我们在提交一下,去这个页面看看
这里知道目录方法有多个,点击这个他会告诉我们,或者抓返回包,这里我用的最简单无脑的,我们直接去这个页面看一看,最后就可以看到该文件,直接你写的?xxxx=phpinfo(); 连接蚁剑即可
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):面试经验分享 | 通关某公司面试靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论