用户
搜索
  • TA的每日心情
    慵懒
    昨天 12:25
  • 签到天数: 230 天

    连续签到: 4 天

    [LV.7]常住居民III

    i春秋-见习白帽

    Rank: 3Rank: 3

    3

    主题

    13

    帖子

    5246

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2021-3-31
    发表于 2021-12-23 14:34:52 22669
    作者:zngeek
    from:www.zngeek.com
    mail:zngeek.pm.me

    靶机地址:10.1.11.82
    目标:获取靶机上的key
    key数量:3个
    难度:★★☆☆☆ 2星
    题目提示:无

    该题目为综合题,仅给出靶机地址,其他无任何信息!

    首先探测一下靶机开启的端口(我用自己写的10K左右的portscan一般习惯线程都是1000,但是靶机是挂的VPN访问,结果很多包都超时,我开始以为是靶机防火墙禁ping,还特意加了个参数可以禁止ICMP方式发包,结果是我自己想多了,就是线程太高,VPN不给力,设置个100线程就OK了)
    探测出一个125端口是php的web服务
    1.png

    发现需要认证,否则返回401
    2.png

    3.png

    这里直接使用burpsuite爆破一下
    抓包可以看到,在get请求的时候,协议头里面多了一个Authorization的项,后面写明了是basic编码
    4.png
    base64解码看一下,正好是我们测试提交的admin:123456
    5.png

    字典明文格式如下
    6.png

    可以写个小脚本或者小软件批量base64编码一下,也可以直接使用burpsuite自带的base64编码
    7.png

    8.png

    成功爆破出密码为qwerty
    9.png

    10.png

    输入用户名admin密码qwerty成功绕过401后,发现该页面无任何的交互功能,仅仅只是一个静态网页而已
    11.png

    接下来可以尝试爆破一下目录
    这里要着重说一下,很多目录爆破的工具都是直接多线程get批量发包判断返回code,稍微好一点的让你设置一下user-agent或者cookie,但是很少有带完整协议头的,包括我自己写的时候也没考虑这个问题,所以,所有的返回理所当然的全是401
    12.png

    等哪天心情好,下个版本直接加一个自定义协议头的参数吧~~这里直接先在代码里面写死~
    13.png

    线程只敢设置10条,VPN实在是不给力~
    探测出了3个目录
    14.png

    直接访问http://10.1.11.82:125/news/phpmyadmin/ 成功进入phpmyadmin
    15.png

    在news下,可以看到一个留言板,弱口令账号密码均为admin,直接进入管理后台
    16.png

    既然能操作数据库了(当然,这个靶机的web服务全部都是system权限运行的,真实的生产环境肯定没这么简单,提权是必须的~~~),直接试试into outfile在web根目录下写一个一句话木马,web路径可以在留言板的管理后台获得
    17.png

    运行成功后,连接我们的webshell看看
    这里一定要注意,所有的web访问都是要带Authorization的,所以在协议头里面一定要加上Authorization: Basic YWRtaW46cXdlcnR5
    18.png

    直接是system权限,可以直接给administrator改一个密码
    19.png

    直接新建一个3389的bat,写入修改注册表的脚本,运行开启靶机的3389(前面端口扫描已经开了3389是因为这次演示是复刻),其实也可以直接写一个reg文件,然后regedit /s xxx.reg
    20.png

    成功拿下靶机
    21.png

    三个key分别是web目录下的rebots.txt、key.php以及桌面上回收站的名字
    22.png

    自此,整个综合题全部攻破!!!!

    总结:本题整体难度不高,只是有一点绕,所以难度定义为2星,思路就是401基础认证爆破→401目录爆破→mysql into outfile写webshell→开3389修改administrator密码→翻找key。只是注意一点,每次只要与web交互都需要在协议头里带上base64的身份认证!


    Je4fer i春秋-脚本小子 我们的目标是星辰大海!
    沙发
    发表于 2021-12-27 10:01:26
    强哇
    使用道具 举报 回复
    发表于 2021-12-31 13:27:46
    强,好久没见过3389这个手法了,感觉windows server少了
    My blog :http://www.e-wolf.top
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册