IMF
信息搜集
存活检测
详细扫描
后台网页扫描
网页信息搜集
在后台网页 /connect.php 中发现了第一个 flag
查看初始页面源码,发现疑似 base64 密文被拆分成三段
ZmxhZzJ7YVcxbVlXUnRhVzVwYzNSeVlYUnZjZz09fQ==
解密得到第二个 flag
flag 中的内容疑似经过 base64 加密,再次解密
得到 imfadministrator
尝试将解密出的字符串当作网页访问
网页登录
出现登录页面
在 connect 下方有三个邮箱,当作用户名进行试验
在其他用户登陆时,报错无效的用户名
当用户 rmichaels 登录时,报错无效的密码
此处后台 php 判断登录的逻辑使用的 strcmp
函数,当比较两个字符串相等时,返回零。但其存在一个漏洞,当比较的非字符串时,返回值也为0,此处可以在 pass
后加 []
将其变为数组,比较结果返回为0,则登录逻辑判断密码正确,可绕过密码登录
成功获取第三个 flag
Y29udGludWVUT2Ntcw==
解密
成功登陆后
sql 注入
在 url 后输入 '
后数据库报错,网页存在 sql 注入
sqlmap 爆破
垃圾 kali 提示 sqlmap 要更新,还开不了 vpn,直接使用 windows 上 sqlmap 爆破
python sqlmap.py -r http.txt --dbs
爆破出以下数据库
爆破 admin 数据库
python sqlmap.py -r http.txt -D admin -tables --batch
爆破 pages 表
python sqlmap.py -r http.txt -D admin -T pages --dump --batch
访问数据库中的页面
http://10.4.7.156/imfadministrator/images/whiteboard.jpg
手机扫码
dXBsb2Fkcjk0Mi5waHA=
解密
uploadr942.php
反弹shell
尝试上传文件,只允许图片文件
伪造 gif 图绕过
返回的值为木马名
访问
http://10.4.7.156/imfadministrator/uploads/81355e91411f.gif
成功执行 php 代码
上传一句话木马
出现 WAF
尝试更换 eval 为 assert
成功上传
蚁剑连接失败
使用 weevely
weevely generate cmd backdoor.php
上传生成的木马
连接
weevely http://10.4.7.156/imfadministrator/uploads/a2fdfa2e9fdd.gif cmd
成功反弹,获取 flag5
查看 flag5{YWdlbnRzZXJ2aWNlcw==}
解密后 agentservices
提权
flag5 提示代理服务
find / -name agent
打不了了,太他妈难了