通关某公司面试靶场

  • A+
所属分类:安全文章

高质量的安全文章,安全offer面试经验分享

尽在 # 掌控安全EDU #



作者:掌控安全-冰封小天堂

一、探测IP

先打开时候长这个样


一开始感觉是迷惑行为、试了试/admin、/login这些发现都没有


通关某公司面试靶场


随后F12查看网络、看到几个js文件带有传参


就丢sqlmap跑了一下无果放弃


通关某公司面试靶场

随后也反查了域名一下、发现没有域名、是阿里云的


这里突然醒悟、我第一步是信息收集。


kali linux启动,nmap 启动,直接常规扫描一波,发现开启了这么多


ftp和ssh可以爆破,但因为是靶场弱口令暂时不想了

smtp和pop3都是邮件服务,80是个幌子也不予考虑,8888是宝塔管理界面

得到信息这是宝塔搭建的,弱口令试了下无果,而且限制登陆次数

暂时先记下、8081重点,这里我第一次访问它貌似因为网络问题没有打开

所以哦我就以为不是,结果后来扫了全端口还是这几个我就炸了


问了花哥,花哥表示让我访问8081,居然能打开了...


通关某公司面试靶场

得到个页面、搜了下这个是宝塔创建完成的正常页面


直接目录扫描、kali的dirb抽风半天都不扫md、就换了御剑
通关某公司面试靶场

二、挖掘漏洞



这里一开始我并没有搞到路径


还是花哥给了test这个路径才开始的,主页很普通就正常的那些销售页面


虽然有跟数据库交互,但都已经写死了


你修改值可以,但是+ - *什么的都不会起作用、注入点无效、有留言板可这靶场没有机器人访问...


所以xss随手试了个简单的就扔了、搜索框也进行了xss和sql测试、无果


通关某公司面试靶场


然后开始扫目录、刚开始扫的时候后面还没扫到


不过扫到了使用手册、直接去访问


通关某公司面试靶场


这里需要将编码换成utf-8、这里看到了后台地址


我们直接去访问、得到后台地址

通关某公司面试靶场

既然还没验证码什么的第一想法就是爆破

但那之前先随手几个弱口令


admin/123456 admin/admin123


第二个直接进去了- -


通关某公司面试靶场


直接管理员权限


奥里给!我们离成功很近了...


通关某公司面试靶场

三、挖掘后台信息




这里每个都要注意一下,细心很重要(致粗心大意的自己)


基本设置这里,发现可以控制上传文件后缀,自然把.PHP加上去

通关某公司面试靶场

这里看到了数据库备份、但有提醒别乱搞就没碰并没有看到明显的上传点


通关某公司面试靶场


在到处溜达了一下在系统信息这里看到了sql语句执行


自然就想到了mysql写一句话、并且在系统信息部分我们拿到了绝对路径出来,从路径看这是个linux系统


通关某公司面试靶场

然后就是写文件,这里用了outfile和dumpfile,


结果都不行,写txt也不行,陷入沉思这到底是什么情况


语句:

select ‘<?php @eval($_POST[cmd]);?>’ INTO OUTFILE ‘/www/wwwroot/39.xx.xx.

52/test/cmd.php’

回到扫描器,发现哦吼phpinfo,居然没删

通关某公司面试靶场


这里我以为绝对路径错了,仔细检查后发现没错


然后继续沉思,到底哪里出问题了?


后来有小道消息说这是靠文件上传的,那这么说都没开启写文件啊,我...


通关某公司面试靶场

四、寻找文件上传功能点



发现疑似可以利用的地方,虽然这里说是上传图片


不过类型都被我改了上传啥还不是咱说了算,上传试试


通关某公司面试靶场


此处注意要允许运行flash


不然会无法点击选择文件之类的东西


通关某公司面试靶场

选择我们的一句话、冲啊


通关某公司面试靶场


成功上传,等等似乎不对,这样我没路径上传了有个啥用啊...淦


通关某公司面试靶场


抓包重来,这里我们并没看到啥可利用的信息,


看来要抓返回包,右键选择它即可抓返回包


通关某公司面试靶场


从返回中我们得到路径,直接getshell 


(这里就很..我之前做的时候它每次都让我登录、所以我就放弃了这个点、结果写文章时候他又可以了淦)


通关某公司面试靶场

五、备用方法



下面是如果上面的失败、如何操作、找到栏目管理、修改任意一个

通关某公司面试靶场


这里也有一个一样的上传点、但我们现在的就是那个走不通


可以看到下面有个编辑器、我们选择附件


通关某公司面试靶场

选择我们的一句话

注意这里也要允许运行flash才可以、不然会报错


通关某公司面试靶场


直接上传上去

通关某公司面试靶场

发现这里多了一个,说明传上去了


然后我们在提交一下去这个页面看看通关某公司面试靶场


这里知道目录方法有多个、点击这个他会告诉我们、或者抓返回包


这里我用的最简单无脑的:


我们直接去这个页面看一看,最后就可以看到该文件


直接你写的?xxxx=phpinfo(); 连接蚁剑即可

通关某公司面试靶场



回顾往期内容

Xray挂机刷漏洞

POC批量验证Python脚本编写

实战纪实 | SQL漏洞实战挖掘技巧

渗透工具 | 红队常用的那些工具分享

代码审计 | 这个CNVD证书拿的有点轻松

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

通关某公司面试靶场


扫码白嫖视频+工具+进群+靶场等资料


通关某公司面试靶场

 


通关某公司面试靶场

 扫码白嫖


 还有免费的配套靶场交流群哦!

本文始发于微信公众号(掌控安全EDU):通关某公司面试靶场

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: