web Machine(n7) 靶场实录

Web Machine(n7) 靶场实录

搭建完成后，首先查看靶机IP

使用fping好像没有查到，131是kali机器的IP。

换一种方法看看

多了一个254的IP，查看了一下本机状态，除了kali以外就只有这个虚拟机是打开的。

尝试ping一下

结果不理想，继续搜索其他内容。

等到扫描端口发现报错并且没有对外开放的端口的时候意识到可能是环境出现了问题

后来查看了虚拟机管理器的IP配置才想起来网段配的是56，并非之前一直使用的233

重新查看IP

发现有两个，其中一个是DHCP 那么另一个就是我们的靶机IP 192.168.56.102

扫描开放端口 看到 25 80 110 端口开放（御剑扫描有时会漏掉一些端口，所以多扫了几次，也用nmap扫了一次）

访问端口对应服务，仅80端口展示服务页面 一般情况下所有端口都尝试访问一下，服务端口可以修改，所以不固定

之前开发经历中weblogic的服务端口曾经修改过9001 9002 9003 9004 等 包括tomcat8080也能修改

查看网页代码确定about us连接为# 没有意义 profile跳转到空白页面http://192.168.56.102/profile.php

查看网页没有什什么信息 后边开始进行目录扫描

扫描结果只有主页和jQuery的页面。dirb的扫描字典并非很丰富，换种其他方式进行扫描

dirsearch扫出来结果也是这样

实在没有进展，只好看看别人怎么做的。发现别人也是用的dirsearch 但是字典不同

人家扫出这两个相关目录 分别是一个文件上传 一个是登录界面

上传文件页面上传后跳转地址无法显示，查看后发现是localhost的地址

应该不太对劲，因为在html中直接写死的action，尝试把localhost修改一下变成靶机的IP

反馈了一个flag 靶机的最终目的应该就是找到flag 本以为flag已经找到 到此结束，后来翻看了相关的攻略内容 发现这个flag只是其中的一半。

继续对登录页面进行测试

首先尝试弱密码，抓包确定是post请求且没有加密

使用简单的tomcat字典爆破尝试，本机运行内存很小，速度很慢，所以没有选择大的字典

爆破的同时使用工具扫描，看看能不能发现什么。结果AWVS扫描没有什么结果。密码爆破也没有成功的反馈。

尝试一下是否存在sql注入的点

尝试了 ’ “ or 等字段后没有发现问题

后来查看时间盲注的内容，尝试了一下，send的时候sleep（5）执行了，并且等待了5秒页面才进行刷新。

自此之后使用sqlmap开始跑一下对应的数据库（自此之后参照了攻略内容，抓包后使用sqlmap通过时间盲注来获取数据库，表空间，表数据等）

sqlmap -r sql.txt --current-db --batch

不使用payload将包传入后进行扫描 扫到time-based blind 以及下边给出payload

数据库名machine

sqlmap -r sql.txt -D Machine --tables --batch

根据数据库继续拿表 看到只有一张login表

sqlmap -r sql.txt -D Machine -T login --dump --batch

拿到数据库数据，最终获取flag。与前边获取的一部分FLAG比对 确实是一半内容