未曾设想的道路
这个靶机做起来问题挺多的,可能是我用的VMware的缘故。最终也没做到最后
开局arpscan,nmap各种方式扫了一圈都未能成功获取到靶机IP。通过救援模式进入shell修改网卡配置解决。具体可以参考链接,改完之后虚拟机也要重启一次,才能正常使用,
信息收集
nmap先扫一波开放端口
nmap -sV 192.168.218.130 -p 1-65535
Host is up (0.00064s latency). Not shown: 997 filtered ports PORT STATE SERVICE VERSION 22/tcp closed ssh 80/tcp open http Apache httpd 2.4.18 ((Ubuntu)) 443/tcp open ssl/http Apache httpd 2.4.18 ((Ubuntu)) MAC Address: 00:0C:29:05:AA:3A (VMware)
web指纹识别
root@kali:~# whatweb http://192.168.218.130/ http://192.168.218.130/ [200 OK] Apache[2.4.18], Country[RESERVED][ZZ], HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.18 (Ubuntu)], IP[192.168.218.130], JQuery[2.2.4], Meta-Author[CodePixar], Script, Strict-Transport-Security[max-age=63072000; includeSubdomains], Title[Agency], UncommonHeaders[x-content-type-options], X-Frame-Options[DENY]
wappalyzer也没有什么有用的信息。
再扫描目录,只有js和scss 目录还算值得关注
页面点点点,
4个头像这里,第一个和最后一个人除了Facebook、twitter、Instagram之外还有一个链接,分别是GitHub和reddit.
GitHub页面得到hint
PHP-OOP
Hint for CengBox3 -- namelastname@ceng-company.vm
reddit是ElizabethSky的一篇文章
得到账号ElizabethSky@ceng-company.vm
最下面有个表单是发送到mail.php,但又没有mail.php。
陷入僵局,瞄了眼其他师傅的文章。发现居然是要绑定域名,找子站。我人傻了,他描述里也没说啊。
把修改hosts文件把ceng-company.vm 绑定到靶机IP上。但是靶机这种情况实际是旁站查询了,常用的子域名工具oneforall、subdomainbrute都不适用。
也就是靶机做了个反代,同一个IP上多个网站,是通过Host头来决定发给哪个网站。
那我们可以用burpsuite intruder模块去爆破啊,导入一个子域名字典。
发现子域名为dev时包长度明显不同,修改本地hosts绑定,访问之.
ps.其实以上不改本地host,单纯用burp抓包改也行。
ps2.网上翻了一下cengbox2,发现wfuzz可以用于这种情况的fuzz。
⭐️这也打破了我玩靶机不用想子域名的思维惯性
就一个登录框,尝试sql注入。存在时间盲注,sqlmap给出的payload如下
Parameter: username (POST)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: username=123' AND (SELECT 3625 FROM (SELECT(SLEEP(5)))vNKf)-- HZOo&passwd=13但是继续爆破数据库名,爆不出来,所有的payload都是302,没有延时。就很奇怪
手动发送sqlmap后续爆库名的payload发现无法延时,手动尝试改了几次还是没延时,这就超出我的实力范围了。
😢再度开启偷瞄大法——发现Elizabeth那里可以使用cewl爬取网页生成一个社工字典,爆破密码walnuttree.
输入账号密码,无法登录。看样子是环境出问题了。。。。。
算了,就到这吧。
759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
