· 本公众号发布的靶场、文章项目中涉及的任何脚本工具,仅用于测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断;
· 本文章、项目内靶场所有资源文件,禁止任何公众号、自媒体进行任何形式的擅自转载、发布
· PTEHUB 对任何脚本及工具问题概不负责,包括不限于由任何脚本错误导致的任何损失或损害及任何法律责任;
· 间接使用靶场、文章中的任何工具及技术,包括但不限于建立VPS或在某些行为违反国家/地区法律或相关法规的情况下进行传播, PTEHUB 对于由此引起的任何隐私泄漏或其他法律问题后果概不负责;
· 如果任何单位或个人认为该项目或文章的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容;
· 以任何方式查看或使用此项目的人或直接或间接使用项目的任何脚本的使用者都应仔细阅读此声明;
· PTEHUB 保留随时更改或补充此免责声明的权利;
·一旦使用访问 PTEHUB 项目,则视为您已接受此免责声明。
您在本声明未发出之时,使用或者访问了 PTEHUB ,则视为已接受此声明,请仔细阅读。
newy靶场是多层网络靶场共9台虚拟机,从今天开始更新春节的靶场详细做法,部分靶场操作可能无法阐述说明,请关注最后一期文章会详细带着视频进行解说。(重复声明:靶场里的环境为自主搭建仅供技术交流使用。文章中的工具不提供下载,如有需要请自行解决。)
永恒的第一步就是进行IP探测,在这里没有直接上nmap因为在实际环境当中可以使用快速确认开的端口,就是直接用浏览器进行打开也可以进行判断。
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
从返回的信息可以直接看出来,是一个The connection was reset 下边还报错了一个error_connection_reset错误,可以直接说明,IP地址是通的只是端口连接的时候被重置了。这种情况一般可能是协议不对或者是中间件有特殊的设置。
接下来,再进行上nmap进行扫描端口。其实很多人都疑惑为什么必须用nmap的问题。nmap扫描确实很强大,但是我一般都是用在扫描的是外部的端口,不会进行扫描内网的主机,因为内部很多的时候有edr或者感知的设备,直接会识别nmap协议指纹,直接一扫一挂,但是扫描外部的网站就不会出现这个问题,顶多就是IP被和谐。很明显这次的10.35.0.188的IP是外部的IP所以直接可以扫描。
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
从扫描的结果来看是80,53,8080。从下图的结果来看,80是nginx的环境并且是在windows上跑的集成的环境。8080是tomcat的中间,在tomcat版本中8、9的版本是有log4j2的,10版本默认没有集成进去。
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
万里长城
老规矩,爆破目录。这个真的没有什么可说的了,这一次是直接爆破的tomcat和80端口。tomcat主要爆破的第一个是目录,第二个是爆破的jsp文件后缀和txt的文件后缀。
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
有一个test的目录。在这里显示的是302,在浏览器上打开的话是一个403的页面。然后我们在进行爆破文件。
第一个flag就获取到了,通过的是爆破猜解获取到。
80端口需要和newy.pte进行本地的host的映射才可以访问。
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
现在网站可以正常的访问了,在这里文章中就不过多详细介绍了,大概的思路就是找参数提交、登陆的地址、爆破目录方法依次尝试。重点在于登陆、注册这两个地方。原因在于,注册地方有上传,可以进行文件上传的漏洞。原因二是因为用户中心可以看到游客更多的功能模块进行漏洞探测。
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
直接使用admin/admin 弱口令进行登陆进去,在这里you有两个角色一个是普通的用户一个是管理员。一般情况肯定是选择较大的权限进行登陆。
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
漏洞的位置很巧妙,他没有注入,没有命令执行只有一个关于这个url地址,我们zai进行详细的看一下。他的地址后有一个url地址的参数,这个地址是一个http://newy.pte/about.php的连接,在这里首先想到的是ssrf漏洞。然后顺着ssrf漏洞的特性,我们可以干很多的事情,如:端口的探测,文件读取等都是可以的
直接先看一下3306常见的端口,我们从返回的时间差和基本的返回的信息也是可以判断一些数据。如:几毫秒的返回肯定是端口开放,返回到页面的数据wo们也可以看出mysql的版本信息。
接下来我们直接看redis和file伪协议读取数据。
file的伪协议我们直接可以从redis的信息中可以获取到路径地址,后边的nginx/conf/vhosts.conf是nginx的默认配置路径我们可以直接猜出来。或者像我一样直接下载一个upupw的版本直接找到对应的目录也是可以的。
在返回的信息中我们需要看的是找到newy.pte的虚拟目录所映射的路径地址。
接下来可以直接使用redis未授权访问进行写入一个webshell即可
需要执行py的脚本在脚本中配置写入的文件绝对路径才可以。
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
然后再去执行py的脚本获取到利用的字符串,这个时候第一个坑出现了,生成出来的可能提交不成功,我们需要进行转换。在这里我直接用百度搜索出来的在线转换。
上图就是生成好的提交代码,只是采用了urlencode了一下即可。在这里一定采用burp进行提交数据包。(不好意思,这个burp的图没有忘记了,自己脑补一下吧)。紧随其后直接访问webshell存在不存在,存在的话我们可以用蚁剑进行连接。(PS:没图,就是没有蚁剑的连接图!)
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
Flag获取
总共有3个flag
1、tomcat目录
2、upupw的默认目录
3、服务器用户的桌面
总结
思路很重要,文章中部分讲的是思路。网站的漏洞突破点主要在于ssrf和redis写入文件,中途必须获取到网站的绝对路径才可以实现。
福利
关注公众号获取以下福利
1.回复关键词 密钥 获取登录账户
2.回复关键词 靶场 获取所有在线靶场IP
3.回复关键词 PTEH-2022-10001 获取该在线靶场IP
1.扫码添加机器人;
2.发送 PTEHub 验证消息;(必须是 PTEHub )
3.机器人自动通过好友后发送 我要加群
![【第一集】newy靶场详解之干下WEB!]( "【第一集】newy靶场详解之干下WEB!")
扫码加入PTEHub靶场3群。没有了,太多营销僵尸,删的我心累。加机器人进群吧。
由宝鸡恩酷电子网络科技有限公司(零遁)提供网络技术支撑
原文始发于微信公众号(PTEHub):【第一集】newy靶场详解之干下WEB!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/769796.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论