连接配置
见这篇文章开始部分,在此不再赘述
扫描
根据给出的IP地址,使用nmap进行扫描
nmap -sS -F -sV 10.10.10.28
-sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手
-F:快速扫描,扫描一些常用端口
-sV:探测开启的端口来获取服务、版本信息
如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查
路径泄露
方法一
发现可以登录,但是目前没有找到入口,于是我们打开burpsuite截包,在站点地图(Target-Site map)内可以找到一个有趣的路径
方法二
这里还有另外一个方法,在浏览器内F12
打开调试,发现html文件中也会泄露路径
我们用浏览器访问这个路径:http://10.10.10.28/cdn-cgi/login
登录
出现了一个登录框,可以去尝试采用爆破等手段,但这里的账号是admin
密码是上一节(点这里)已经获得的MEGACORP_4dm1n!!
,登录后跳转到门户页面,随便点一点,注意到Uploads页面需要超级管理员才可以上传
但是目前我们不是超级管理员权限,但是发现Account
页面会显示当前用户信息,在burpsuite中截包
SQL注入尝试与越权
观察数据包,不难发现自定义cookie由user
和