面试经验分享 | 通关某公司面试靶场

admin 2024年2月12日14:00:17评论11 views字数 1706阅读5分41秒阅读模式
本文由掌控安全学院 - 冰封小天堂 投稿

0x00:探测IP

首先打开时候长这个样,一开始感觉是迷惑行为,试了试/admin,/login这些发现都没有
面试经验分享 | 通关某公司面试靶场

随后F12查看网络,看到几个js文件带有传参,就丢sqlmap跑了一下无果面试经验分享 | 通关某公司面试靶场

随后也反查了域名一下,发现没有域名,是阿里云的,这里突然醒悟,我第一步是信息收集。

kali linux启动,nmap 启动,直接常规扫描一波,发现开启了这么多,ftp和ssh可以爆破,但因为是靶场弱口令暂时不想了,smtp和pop3都是邮件服务,80是个幌子也不予考虑,8888是宝塔管理界面,得到信息这是宝塔搭建的,弱口令试了下无果,而且限制登陆次数,暂时先记下,8081重点,这里我第一次访问它貌似因为网络问题没有打开,所以我就以为不是,结果后来扫了全端口还是这几个......
面试经验分享 | 通关某公司面试靶场

访问8081端口,得到页面一个,搜了下,这个是宝塔创建完成的正常页面,使用御剑进行目录扫描
面试经验分享 | 通关某公司面试靶场

0x01:挖掘漏洞

这里一开始我并没有搞到路径,还是花哥给了test这个路径才开始的,主页很普通就正常的那些销售页面

虽然有跟数据库交互,但都已经写死了,你修改值可以,但是+ - *什么的都不会起作用,注入点无效,有留言板但是这靶场没有机器人访问,所以xss随手试了个简单的就扔了,搜索框也进行了xss和sql测试,无果

面试经验分享 | 通关某公司面试靶场

然后开始扫目录,刚开始扫的时候后面还没扫到,不过扫到了使用手册,直接去访问
面试经验分享 | 通关某公司面试靶场

这里需要将编码换成utf-8,这里看到了后台地址,我们直接去访问,得到后台地址
面试经验分享 | 通关某公司面试靶场

既然还没验证码什么的第一想法就是爆破了,但那之前先随手几个弱口令,admin/123456 admin/admin123,第二个直接进去了

面试经验分享 | 通关某公司面试靶场

管理员权限,奥里给,我们离成功很近了
面试经验分享 | 通关某公司面试靶场

0x02:挖掘后台信息

这里每个都要注意一下,细心很重要(至粗心大意的自己)

基本设置这里,发现可以控制上传文件后缀,自然把.PHP加上去
面试经验分享 | 通关某公司面试靶场

这里看到了数据库备份,但有提醒别乱搞就没碰,并没有看到明显的上传点,
面试经验分享 | 通关某公司面试靶场

在到处溜达了一下在系统信息这里看到了sql语句执行,自然就想到了mysql写一句话
并且在系统信息部分我们拿到了绝对路径出来,从路径看这是个linux系统
面试经验分享 | 通关某公司面试靶场

然后就是写文件,这里用了outfile和dumpfile,结果都不行,写txt也不行,陷入沉思这到底是什么情况

语句:select ‘<?php @eval($_POST[cmd]);?>’ INTO OUTFILE ‘/www/wwwroot/39.xx.xx.52/test/cmd.php’

回到扫描器,发现,哦吼phpinfo,居然没删,
面试经验分享 | 通关某公司面试靶场

这里我以为绝对路径错了,仔细检查后发现没错,然后继续沉思,到底哪里出问题了,后来有小道消息说这是考文件上传的,那这么说都没开启写文件啊
面试经验分享 | 通关某公司面试靶场

0x03:寻找文件上传功能点

发现疑似可以利用的地方,虽然这里说是上传图片,不过类型都被我改了上传啥还不是咱说了算,上传试试
面试经验分享 | 通关某公司面试靶场

此处注意要允许运行flash,不然会无法点击选择文件之类的东西
面试经验分享 | 通关某公司面试靶场

选择我们的一句话,冲啊
面试经验分享 | 通关某公司面试靶场

成功上传,等等似乎不对,这样我没路径上传了:
面试经验分享 | 通关某公司面试靶场

抓包重来,这里我们并没看到啥可利用的信息,看来要抓返回包,右键选择它即可抓返回包
面试经验分享 | 通关某公司面试靶场

从返回中我们得到路径,直接getshell (这里我之前做的时候它每次都让我登录,所以我就放弃了这个点,结果写文章时候他又可以了)
面试经验分享 | 通关某公司面试靶场

0x04:备用方法

下面是如果上面的失败,如何操作,找到栏目管理,修改任意一个
面试经验分享 | 通关某公司面试靶场

这里也有一个一样的上传点,但我们现在的就是那个走不通,可以看到下面有个编辑器,我们选择附件
面试经验分享 | 通关某公司面试靶场

选择我们的一句话,注意这里也要允许运行flash才可以,不然会报错
面试经验分享 | 通关某公司面试靶场

直接上传上去
面试经验分享 | 通关某公司面试靶场

发现这里多了一个,说明传上去了,然后哦我们在提交一下,去这个页面看看
面试经验分享 | 通关某公司面试靶场

这里知道目录方法有多个,点击这个他会告诉我们,或者抓返回包,这里我用的最简单无脑的,我们直接去这个页面看一看,最后就可以看到该文件,直接你写的?xxxx=phpinfo(); 连接蚁剑即可
面试经验分享 | 通关某公司面试靶场

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

面试经验分享 | 通关某公司面试靶场

 

原文始发于微信公众号(掌控安全EDU):面试经验分享 | 通关某公司面试靶场

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月12日14:00:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   面试经验分享 | 通关某公司面试靶场https://cn-sec.com/archives/2488534.html

发表评论

匿名网友 填写信息