目录这个环境是我从朋友那里拿到的,听说某公司前面试时出的渗透实战题目,只能针对该URL的这一个端口网站进行测试!首先我打开界面大概看了一下,在about处有些这渗透注意事项大概意思是:

1.目标格式大概是Flage{xxxxx}

2.测试过程中不能使用nmap/nessus/openvas/AWVS/appscan和ddos等

3.使用目录扫描器,1k的dic就行,很容易扫出我们需要的信息。

看到他的提示之后,我们首先使用7K目路扫描器,对网站目录进行爆破,因为这里是用php搭建的网站,我们使用常规的php字典进行扫描。

ml

发现存在robots文件,这里面一般存放着不想让爬虫扫描的路径,打开该文件果然存在一个后台地址,访问后台地址。

1

2

需要邮箱地址,密码和一个4位代码才能登录到后台,我们返回初始页面看看哪些地方能获取到这些信息,发现一个博客界面,这里应该有可以利用的地方(直觉)

3

这个ID感觉很可疑,尝试一下输入'发现被WAF拦截了,提示FUCK OFF,hack.还嘲讽我不能忍!

4

这样让我更加怀疑这个地方存在注入点了,经过多次尝试,果然cookie处存在注入点,出题者并没有在cookie处对传入的参数进行过滤。

5

直接丢到SQLmap中去跑,使用命令:

sqlmap.pu -u "http://x.x.x.x/single.php"  --cookie "id=5" --level 2 -v 3

6

原本想直接getshell的,结果不是管理员权限。

7

那只能尝试先获取登录后台用户的账户密码和四位代码了。

当前网站数据库:sqlmap.py.lnk -u "http://X.X.X.X/single.php"  --cookie "id=5" --level 2 -v 3 --current-db

8

爆破数据库中的表:

sqlmap.py.lnk -u "http://X.X.X.X/single.php"  --cookie "id=5" --level 2 -v 3 -D hs_test_s1_blog --tables

9

查看admin表中的列名:

sqlmap.py -u "http://X.X.X.X:/single.php"  --cookie "id=5" --level 2 -v 3 -D hs_test_s1_blog -T admin  --columns

10

查看admin表中的所有数据

sqlmap.py -u "http://X.X.X.X/single.php"  --cookie "id=5" --level 2 -v 3 -D hs_test_s1_blog -T admin  --dump

11

到这里我们已经得到了登录后台的账号和密码,但是还少个4位代码,权限内能查看到的数据库中也没有发现有关四位代码的地方,又想着绕过验证码,反正四位数组合也不大尝试使用爆破,结果验证码不能重复使用,那没别的办法了只能回到原来的界面看看有没有可以用的信息了。

12

由于我的英语比较垃圾,就用了谷歌翻译没发现博客界面有个重要的提示说作为一个聪明的家伙,我将使用公共一些明显的数字作为我的p3sswords,而旁边另一篇文章又写着祝我自己生日快乐,这里猜测他的四位数代码应该是他的生日日期,看一下生日快乐这篇文章发布日期2019-10-27,尝试使用1027登录后台,果然成功登录上去了!13

登录后台第一件事就想着找到上传点,上传一个webshel,在创建博客文章处发现有一个上传点,但是做了限制,也许是我太菜绕不过,只能上传图片文件。14

15

这时候如果有一个解析或者文件包含漏洞那该多好,又找了一段时间发现在选择语言的地方,发现template后传入的参数可控,可能存在文件包含漏洞。

16

上传的png格式的图片以php文件解析了17

这时候我们只需要上传一个webshell,利用工具链接就能getshell了,返回之前上传文件的地方上传webshell用蚁剑链接,果然不负众望,蚁剑连接不上,大马小马也连接不上,原本猜测是对后门文件和工具特征就行拦截,经过修改蚁剑特征,自己造轮子,依旧返回错误被拦截。

image.png

image.png

使用自己制作的免杀Webshell,在本地环境测试可以正常使用,但是在目标服务器上解析的时候一直在转圈圈,最后还是以失败告终!!

image.png

如果有表哥知道怎么绕过或者有思路的可以联系我

填坑:

之前因为靶场关闭就没有在研究这个题目了,前两个星期又有个小伙伴问了我一下这个题目该怎么做,到最后的一步我把之前的思路给重新捋了一下,之前一直都是使用post或者get方式进行传参都被拦截了,在进行sql注入的时候也是post和get传参都被拦截了,最后是使用cookie传参进行绕过的,也就是说出题者只是对post和get传参方式进行拦截,并没有对cookie设置过滤,我们可以尝试上传一个后门文件,再利用解析漏洞,使用cookie进行传参来执行系统命令,最后获取flage(忘了截过程图

最后修改:2021 年 01 月 25 日 02 : 05 PM
如果觉得我的文章对你有用,请随意赞赏