因为是一次做渗透而且又是靶场,所以信息搜集也就没有做,拿到靶场网址后直接打开网页看看有什么东西,发现了一个登录口,想着有登录那就有注册,所以思路就出来了:注册→登录-修改密码(越权)
但是注册成功后登录进去就跳转到首页了,连后台都没有更别提修改密码了,所以只好在找找其他的利用点,这个时候群里的其他哥哥们都说进后台了!
看到这里,我突然灵光一闪思路瞬间清晰无比,首先比赛开始到现在最多5分钟,其他哥哥们说已经进后台了,从这里可以看出后台地址肯定不会很难,先在路径用默认的admin猜测一下:
ok,我们后台已经找到
继续分析,经过这么短的时间其他哥哥们已经进入后台了,那么账号密码肯定不会很难,所以是弱口令的几率是非常大的!
那么我们为了节省时间可以先尝试手工测一下:admin/admin、admin/123456、admin/admin123、admin/admin666、等常用弱口令。
经过测试通过admin/123456登陆成功
果然我还是太年轻了,进入后台之后我们肯定不能就这么结束嘛,拿shell!拿shell!
第一次做渗透就轻而易举的进入后台了,说不紧张是假的,经过层层查看,发现几个上传点,如下:
上传点1 - 个人设置-修改头像
上传点2 - 编辑文章-上传附件
上传点3 - 备份数据-导入备份
上传点4 - 图册管理-上传图片
上传点5 - 插件管理-上传插件
我们总共找到五个上传点,经过测试,最后发现有两个上传点是可以使用。
上传点5:我们可以通过页面提示发现要求我们上传zip压缩文件,那么我们应该可以理解为,当我们上传zip压缩文件后,系统会对zip文件进行解压!如果思路成立,那么我们可以直接Getshell,想到就做,先找到一句话代码
<?php @eval($_POST[pass]);?>
将一句话木马写到php文件内,并且百度搜索一个emlogcms系统的插件,然后把一句话木马php压缩进去,之后再上传!
如果没有waf的情况下,那么他就会顺便把我们的shell文件也给解压出来。
上传成功
然后我们百度搜索emlogcms的插件路径为:/content/plugins/,我们直接扔菜刀进行连接
拿到shell
上传点4:这个上传点属于简单的。
我们进入后台之后点击图册专辑。
然后我们上传一个jpg图片文件,通过burp抓包修改图片内容为一句话代码,并且将后缀修改为php即可上传成功。
之后我们点击查看原图即可跳转到这这个文件的路径,我们放在菜刀内直接连接即可
当我们拿到shell之后根据阿浪的提示,可以发现
etcetra directory在百度上搜索的结果为linux根目录下的/etc文件夹
那么我们通过菜刀进入etc文件就可以拿到flag
就这样,这次小竞赛结束了,结束后也看了看其他哥哥们的渗透笔记,发现思路也都差不多,而且还有个哥哥做了一下代码审计发现后台存在一个反弹xss漏洞:
后台反弹xss漏洞