文章首發圈子社群:
前兩天做了乙個靶機滲透題目,在此記錄一下
但如果靶機沒有顯示ip,可以用nmap掃瞄網段得到ip。
**的功能很簡單,註冊、登入以及瀏覽一些使用者資訊。簡單點了點**的功能,發現有登入和註冊,但是當我點選註冊的時候,介面顯示不讓註冊。
**有乙個user介面,裡面列出了9名使用者,有使用者名稱。
這時候想到利用登陸介面結合這些使用者名稱去爆破弱口令,先放著,繼續資訊收集......
掃瞄靶機埠,準備從開放的服務下手
可是發現就開了乙個80埠,嘖嘖嘖,好吧,繼續目錄探測一波...
利用dirb工具掃瞄目錄
兩個鏈結。。。第乙個404,第二個是乙個圖示,看起來也沒有得到什麼有價值的東西。
這時候就有點懵了,感覺無處下手啊,但是幸好瀏覽網頁的時候開著f12,看到乙個連線
點進去
9個使用者資訊,limit的值也正好是9,這就不免想改一改limit的值了,直接改成1000000,再改1000001的時候沒有增加的使用者資訊,這裡應該是所有使用者的資訊了。
接下來寫個指令碼把username全都提取出來
#接下來就用bp進行爆破了,爆破出幾個使用者名稱密碼來-*- coding:utf-8 -*-
import
ref = open('
..\\onames.txt
','r')
s =f.readline()
f.close()
name1 = re.findall('
username(.+?),
',s)
name1 = ""
.join(name1)
name2 = re.findall('
:\"(.+?)\"
',name1)
f1 = open('
..\\names.txt
','w')
for name in
name2:
f1.write(name+'\n'
)f1.close()
用其中乙個進行登入,但是登入之後還是感覺沒什麼用
利用bp獲得token,下面靶機的ip都變成了192.168.1.101,因為文章是分兩次記錄的,靶機的ip發生了變化。
token資訊解密
解密之後發現重點是auth_level這個字段值,但是應該把它改成什麼呢,之前的資訊收集沒有收集到任何有用的線索,只能看訪問到的原始碼了,
幸運的是在其中乙個js檔案中找到了這個關鍵字
試試改成master_admin_user進行發包
返回的結果:
發現我們已經是admin了,下一步就該考慮怎麼getshell了
在getshell這想了很久都沒什麼思路,再次拜讀了大佬的wp後,才知道password這有命令執行
抓包利用nc**shell
nc -vlp 8000產生tty shell
python -c '接下來就是建立root使用者,方法有很多,可以用openssl也可以用指令碼perl、php等等...import pty;pty.spawn("/bin/bash")
'
再su提權之後然後就可以看到root目錄下的flag檔案了
對於這次的滲透靶機,個人感覺重點在於前期的資訊收集,雖然埠和目錄都沒有突破,但是使用者名稱有了大用處,再到後面的getshell是由於靶場原始碼暴露在了github上,經過審計得知password處的命令執行,所以前期的資訊收集很重要。
Bulldog1靶機滲透
掃瞄一下內網存活主機,發現192.168.114.144這個存活主機。進行埠掃瞄 23,80,8080埠均開放。進行網頁訪問,暫時沒有什麼發現,掃一下 的目錄。發現了很多有趣的東西,乙個是admin目錄,還有乙個dev目錄。掃瞄以下admin的指紋,是基於djanjo框架寫的,先不進行密碼爆破,因為...
kali滲透綜合靶機 五 zico2靶機
kali滲透綜合靶機 五 zico2靶機 一 主機發現 二 埠掃瞄 三 埠服務識別 四 漏洞發現 1.訪問發現可能存在檔案包含漏洞 2.測試是否存在檔案包含漏洞,下圖說明存在存在檔案包含漏洞 3.掃瞄 目錄 4.測試資料庫是否可寫內容,在資料庫插入 phpinfo 然後結合檔案包含 然後結合檔案包含...
Web Pentester滲透靶機
下面分模組講解 檔案包含 很明顯這是乙個典型的包含,先在後面加個單引號,我們就可以得到物理路徑 下面我們看看能不能呼叫example.php中的動態包含函式包含passwd檔案內容 接著我們就可以利用他進行本地包含和遠端包含 我們還是先用單引號或者其他符號先去測試一下 還是會把我們的路徑爆出來,但是...