用户
搜索
  • TA的每日心情
    擦汗
    2021-4-12 08:23
  • 签到天数: 142 天

    连续签到: 5 天

    [LV.7]常住居民III

    i春秋-核心白帽

    Rank: 4

    65

    主题

    89

    帖子

    3116

    魔法币
    收听
    0
    粉丝
    10
    注册时间
    2020-7-23
    发表于 2021-4-9 21:35:44 116631
    0x00:靶机介绍
    这次的靶机是Luke,难点在于JSON只要过了这关其它的就没啥难度了。
    0.png
    0x01:信息收集
    这次开放的端口比较多有21(可支持匿名登录),22,80,3000,8000这3个HTTP服务。
    1.png
    先去ftp探探路。名字就是Anonymous,密码为空。里面有个webapp目录继续跟进里面有个for_Chihiro.txt的文件用GET把它弄到本地。
    2.png
    Emmmm信息量不太大。只能确定有两个用户名Chihiro和Derry
    3.png
    0x02:挖掘页面信息
    这里等autoreocon扫完, 80端口比较正常
    4.png
    联动的gobuster可以扫到一个config.php页面还有个management /member不太重要 /login到后面也进不去。
    5.png
    /config.php是一个数据库账号密码root 还有一串长长的密码字符串
    9.png
    3000端口是个JSON页面。
    6.png
    可以扫到/login 和/users目录
    9.5.png
    最后的8000端口是个CMS界面。
    7.png
    用searchsploit +标题可以找到相关漏洞。
    8.png
    0x03:挖掘JSON页面
    目前手上知道一个数据库账号密码果断选择/login试试。
    10.png
    研究了一会GET方式好像只会BadRequest。这里改成用curl 指定传输方法为POST 用-d 把数据带上除了第一次手残打错其它是forbidden,起码证明路是对的只是账号错了。最后还要试用户名出来。Root不对。最后admin +config.php下的长密码可登录成功
    命令:curl http://10.10.10.137:3000/login -d ‘username=admin&password=xxxx’;echo
    11.png
    这里可以分解一下token 每段有.分割。前面两段可以用base64解码第一段是JSON的信息。第二段是用户信息最后一段是JSON签名
    12.png
    13.png
    而token有点类似cookie可以借着这段token登录查看信息。列出这四个账号信息。分别是Admin, Derry, Yuri和Dory
    14.png
    既然都走到这步了肯定想继续往下走走
    最后试了下只需要在/users/用户名就可查看这四个账号密码信息了。
    15.png
    然而只有唯一个能登上80端口下的management页面,management页面下又有一个config.json幸好这次直接告诉你用户名root和密码了。
    16.png
    0x04:拿flag
    利用最新得来的账号和密码可以登上这个CMS。
    17.png
    只需要去到File manager那里点开flag就可。
    18.png
    权限很高直接是root了。总的来说被JSON折磨完以后其它的就没啥了。
    19.png

    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    发表于 2021-4-12 10:21:57
    太强了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册