入网2个月 - 对某小型比赛记录【略菜】
入网2个月 - 对某小型比赛记录【略菜】
提示:系统存在漏洞,端口存在漏洞,flag分为两部分,一部分在web一部分在系统。
看到url上,index.html 随便点一些网页看看有没说什么sql注入的地方
都是xxxx.html静态页面(先不考虑注入)
看到有个搜索的,顺手打一下css看看
<>这些被过滤掉了(很顺手很顺手的打了一句,就算打出来了反射型xss也很难利用)
接着看下去,一眼到底,好像能利用的见底了。开始我们的正戏!
开始做信息收集了
第一个想到的是他的后台地址(一眼看到这是dedecms)
我们可以去网站百度dedecms的后台地址,但是我不!(是懒,而且地址也可能迁移了不定,所以就直接开御剑扫后台)
一瞄,挺多目录的,选取了一些有用的信息(如红框)
① install目录可能存在重复安装的漏洞(这个危害比较大,可以覆盖掉别人的cms)
点进去发现,莫得东西。
是个假的哈哈哈
② ---robots.txt
这是个君子协议,告诉爬虫,你不能爬这些目录这些文件的东西。之所以是君子协议,是因为,你可以不遵守哈哈哈,也没什么影响,但我们不是爬虫,我们是渗透人员,所以我们称不上小人,去里面瞄瞄有什么目录是不想被爬虫爬到的,基本上就是写隐私文件或者比较重要的。
一眼过去,好像,没有啥有价值的东西。
放弃掉。
③ ---login.php
这个应该是个登陆界面
一看果不其然,能登陆能注册。
注册这个东西很好用,运气好的话,能越权能打出存储xss。
先从这里下手
点注册
卧槽无情,只能再次放弃遐想
从登陆这里入手。
随便打了一个密码试试水
admin-admin
居然还不合法!过分。
看到这里有个验证码,说明不能爆破??NONONO
来我们绕一下验证码。
打开代理,打开burp。
(代理的方法和burp破解使用就不再多说)登陆的时候抓包,放到Repeater模块
首先我们看到的是刚刚看到的,admin不合法。
我再换一个用户名,验证码还是不变
发现居然是用户名不存在。而不是验证码错误!
(通常来说,当我们登陆失败或者登陆成功之后,验证码都会刷新)
(再通常来说,是存在验证码能重复使用的,就算验证码刷新了,可能用回原本的那个也是能够通过验证码)
这里明显是后者,所以这里可以直接爆破出账号密码。
然后这里要注意一个点:
通常我们登陆失败的话,显示的大部分都是用户名或账号错误等等,但是这里直接显示用户名不存在,是不是单独先验证用户名呢。
这样就好办了,我们先直接爆破用户名,直到他出现密码错误,说明用户名对了密码错了,再爆破密码,这样可比同时爆破账号密码快多了。
放到Intruder模块
只添加用户名先,直接爆破
顺便一提,我们这里万能密码登陆也是被过滤的,不然就简单多了
然后我们直接看到这里
ADMIN长度不一样,看了一下响应包,果然显示密码错误,说明用户名是ADMIN无误了。接下来爆破密码。
找到了,密码是admin,但是不能从前台登陆,所以我们要找个后台地址。
至少我们知道了账号密码。
接下来的任务就是要找到后台地址,回到御剑那里
看到那些东西奇奇怪怪,出于好奇点进去看了一下
都是乱码,转码后
这里好像可以上传东西,利用一下可以直接上传个马,也就不用后台了。
先试一下点提交
好像这里利用不了
再看看别的.
我们看回目录扫描看看有没后台的登录网址。
看到有个login的,后来发现是后台登陆页面
把之前爆破到的管理员用户名密码填上去成功过!!
成功
整个后台界面是这样子的。
看到后台大致浏览一下,先看一下系统设置那些
可以看到这里直接找到一部分的flag了。
还有另一部分就要想办法getshell了。
一般来说,这样子进到后台的话基本上什么都能改。
我们瞄一下上面的设置
可以看到这里可以设置上传白名单,我们只要在这里加|php,就允许上传php文件了,也不用想着怎么绕(如下图)
还能设置一下禁用函数
也直接清空掉,啥都能用
OK了就直接找上传点了
这里看到一个上传新文件
由于我们改了之后,是可以上传php文件
但是这里好像上传点有问题。报错了,后面我们也尝试了一下上传正常的图片,也是这样,可能被某个同行打崩掉了,继续看其他的上传点。
这里也可以直接上传,但也是404了
(原本我就是在这里上传getshell的,看来也是被打崩了)
再换一个上传点
一般cms都是有模板上传的,我们可以找一下这个地方
后来在标签这里发现了.php结尾的文件(因为这里的后缀好像不能改,前面的模板是.htm,改不了)
这里的话,随便编辑一个文件,或者添加一个新的标签都可以,这里就在一个原有的标签里面添加就好了(不起眼)
在这里添加一个一句话木马,上蚁剑
这里有目录
经过漫长的寻找,flag在系统桌面