像之前的套路一样,nmap真香
找到了目标主机,IP为172.16.12.15
进行端口侦测:
- 22号端口是ssh服务(弱口令登录,爆破,一些攻击载荷)
- 80号端口中间件是apache的2.4.7(常规的网站漏洞扫面)
先打开网页看看:
注意提示信息很重要!意思就是让我们抓包改包,把x-forwarded-for这个参数的值改为本地(localhost)
启动bp来尝试:
在Bp的代理页面中,添加一项本地的参数,勾选它,这样每次发包的时候经过Bp就会添加一个本地的参数。
如果失败了就多发送几次。
进入网站的页面是这样的:
每个连接都尝试一次:
登录连接:存在与数据库交互的地方,尝试注入(sqlmap)
卒
同样的注册连接也是
卒
网站目录遍历,看看敏感目录:
存在一个config的目录
打开config目录查看一下
像这个样子的网页,我感觉是我们缺少给php的参数
尝试使用wfuzz来爆破一下参数以及参数的值
在爆破的同时我们注册一个账号进去看看:
注册是账号是123,要注意观察url的参数
这里出现了一个比较经典的水平越权 可以测试一下这个user_id的值
改为1的时候,出现了别人的账号,修改前端的type为text就可以查看密码
根据靶机作者的提示,我们应该要找一个叫做alice的用户
id=5的时候就是alice的账号
我们来尝试用ssh连接一下
要值得住的是,隐藏文件夹
最后一个flag是在root目录里面 需要提权
我们看看alice的root权限有那些
也就是说,alice的权限可以在主机中使用root权限来运行php shell
然后反弹到我本地的NC下 就是root权限了
首先,在本机中开启nc的接收端口为123,本机IP为172.16.12.11
在靶机中运行php shell并反弹shell
532
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
