高质量的安全文章,安全offer面试经验分享
尽在 # 掌控安全EDU #
作者:掌控安全-冰封小天堂
一、探测IP
首先打开时候长这个样
一开始感觉是迷惑行为、试了试/admin、/login这些发现都没有
随后F12查看网络、看到几个js文件带有传参
就丢sqlmap跑了一下无果放弃
随后也反查了域名一下、发现没有域名、是阿里云的
这里突然醒悟、我第一步是信息收集。
kali linux启动,nmap 启动,直接常规扫描一波,发现开启了这么多
ftp和ssh可以爆破,但因为是靶场弱口令暂时不想了
smtp和pop3都是邮件服务,80是个幌子也不予考虑,8888是宝塔管理界面
得到信息这是宝塔搭建的,弱口令试了下无果,而且限制登陆次数
暂时先记下、8081重点,这里我第一次访问它貌似因为网络问题没有打开
所以哦我就以为不是,结果后来扫了全端口还是这几个我就炸了
问了花哥,花哥表示让我访问8081,居然能打开了...
得到个页面、搜了下这个是宝塔创建完成的正常页面
直接目录扫描、kali的dirb抽风半天都不扫md、就换了御剑
二、挖掘漏洞
这里一开始我并没有搞到路径
还是花哥给了test这个路径才开始的,主页很普通就正常的那些销售页面
虽然有跟数据库交互,但都已经写死了
你修改值可以,但是+ - *什么的都不会起作用、注入点无效、有留言板可这靶场没有机器人访问...
所以xss随手试了个简单的就扔了、搜索框也进行了xss和sql测试、无果
然后开始扫目录、刚开始扫的时候后面还没扫到
不过扫到了使用手册、直接去访问
这里需要将编码换成utf-8、这里看到了后台地址
我们直接去访问、得到后台地址
既然还没验证码什么的第一想法就是爆破了
但那之前先随手几个弱口令
admin/123456 admin/admin123
第二个直接进去了- -
直接管理员权限
奥里给!我们离成功很近了...
三、挖掘后台信息
这里每个都要注意一下,细心很重要(致粗心大意的自己)
基本设置这里,发现可以控制上传文件后缀,自然把.PHP加上去
这里看到了数据库备份、但有提醒别乱搞就没碰并没有看到明显的上传点
在到处溜达了一下在系统信息这里看到了sql语句执行
自然就想到了mysql写一句话、并且在系统信息部分我们拿到了绝对路径出来,从路径看这是个linux系统
然后就是写文件,这里用了outfile和dumpfile,
结果都不行,写txt也不行,陷入沉思这到底是什么情况
语句:
select ‘ @eval($_POST[cmd]);’ INTO OUTFILE ‘/www/wwwroot/39.xx.xx.
52/test/cmd.php’
回到扫描器,发现哦吼phpinfo,居然没删
这里我以为绝对路径错了,仔细检查后发现没错
然后继续沉思,到底哪里出问题了?
后来有小道消息说这是靠文件上传的,那这么说都没开启写文件啊,我...
四、寻找文件上传功能点
发现疑似可以利用的地方,虽然这里说是上传图片
不过类型都被我改了上传啥还不是咱说了算,上传试试
此处注意要允许运行flash
不然会无法点击选择文件之类的东西
选择我们的一句话、冲啊
成功上传,等等似乎不对,这样我没路径上传了有个啥用啊...淦
抓包重来,这里我们并没看到啥可利用的信息,
看来要抓返回包,右键选择它即可抓返回包
从返回中我们得到路径,直接getshell
(这里就很..我之前做的时候它每次都让我登录、所以我就放弃了这个点、结果写文章时候他又可以了淦)
五、备用方法
下面是如果上面的失败、如何操作、找到栏目管理、修改任意一个
这里也有一个一样的上传点、但我们现在的就是那个走不通
可以看到下面有个编辑器、我们选择附件
选择我们的一句话
注意这里也要允许运行flash才可以、不然会报错
直接上传上去
发现这里多了一个,说明传上去了
然后我们在提交一下去这个页面看看
这里知道目录方法有多个、点击这个他会告诉我们、或者抓返回包
这里我用的最简单无脑的:
我们直接去这个页面看一看,最后就可以看到该文件
直接你写的?xxxx=phpinfo(); 连接蚁剑即可
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
扫码白嫖视频+工具+进群+靶场等资料
扫码白嫖!
还有免费的配套靶场、交流群哦!
本文始发于微信公众号(掌控安全EDU):通关某公司面试靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论