加粗样式靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/5/
- 本次打靶耗费时间较长,故分上下两篇进行记录,主要还是信息收集阶段太耗费时间。上半部分主要记录如何通过web网站成功拿下出网机器的。下半部分主要是内网相关过程。
一、环境搭建
靶场原文:打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。同时,出网机器需要配置桥接模式,并且添加net网卡,这里部署情况与前两个靶场类似,这里不做过多讲解。另外出网机器网卡必须重启。
目标:域控中存在一个重要文件,这里需要拿到这份文件。
由于本次靶机为黑盒测试,靶场并未提供任何有效信息,这里需要自行探索,这里也考研了我们的域内信息收集的能力。
下面开始打靶!
二、打靶.
首先开始确定出网服务器IP地址。
1.信息收集
成功扫到了一台虚拟机中的IP
下面经行端口扫描。确定攻击方向与优先级。
这里扫到了22、80、3306、端口,优先级80>3306>22
使用浏览器访问当前IP,默认进入80端口。
查看刚刚nmap扫描的robots.txt 文件。
得到如下文件目录。尝试拼接。
由于没有得到有效用户信息,所以我们并没有得到有效信息。
继续尝试做目录扫描。
逐个尝试发现,在1.php文件中进入了如下界面,通过查看发现了网站的文件目录,同时也看到了当前网站仅用了php远程代码执行的函数。
继续等待目录扫描,并继续尝试访问。
发现如下内容,这里应该是一个数据库连接日志备份,刚好我们刚刚得到了3306端口开启,这样我们可以尝试使用下面的用户和密码尝试远程登录mysql.
成功连接进入当前数据库
查看数据库
进入数据表目录。
这里发现这里的表名有两个版本,一个是umnbt,另一个是am2zu,正好与刚刚web页面备份文件中的数据库名相同。这里我们接着尝试访问当前数据库user表。
这里得到了一个超级管理员和用户密码 (加密)
可以尝试将这段密码拿出来使用ctf密码破译攻击尝试破解。
也可以尝试使用当前mysql用户update命令修改当前密码。
成功修改密码。
使用刚刚修改完成的密码登录刚刚获取的后台网站。删除线格式
成功使用超级管理员用户登录到当前后台。
使用当前后台主题插件管理功能寻找一个可执行的php文件,写入一句话木马。
同时在刚刚目录扫描时我们已经获得了当前插件管理目录的地址。直接尝试拼接,并使用蚁剑尝试连接。
这里我做了尝试,发现终端连接上之后很多系统命令都无法执行,会想起刚刚看到的php禁用函数,应该时将部分系统执行函数仅用了。这里我们可以尝试使用bypass工具绕过。
成功上传bypass 工具。
远程访问当前上传文件
这里成功拿到这台主机的shell 。
4202
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
