D0g

我愿乘风破浪,踏遍黄沙海洋

©D0g
Powered by LOFTER
 

一次靶场练习报告

背景:靶场共有8个key,按题目要求分别找出来。

 

第1题:访问目标主机172.16.1.207,找到网站后台的key1

目标网站如图



可以找到后台为172.16.1.207/adminlogin.asp,尝试弱口令和万能密码无果,





然后在前台看看,发现,那个“点击这里发布你测试语句!”有XSS漏洞,





于是可以利用xss盗取管理员cookie进后台,利用一个xss平台,插入包含这个代码的连接



插入链接



插入后,不到一会儿就可以到接收cookie的xss平台看到管理员的cookie了





然后利用谷歌浏览器的插件EditThisCookie来修改成管理员的cookie,就可以直接进后台了(我尝试过解密密码,不成功)

 

重新进后台后就找到了key1



 

第2题:找到网站根目录下的key2

后台有个上传文件,测试了下,可以利用iis6的解析漏洞上传了个xx.asp;xx.jpg的一句话

然后找了下上传地址,发现上传地址为

 

http://172.16.1.207/19621007xing20080316ran/upload/asp.asp;1.jpg

 

直接菜刀连接,然后翻到网站根目录就可以找到key2了



 

第3题:找到C盘根目录下的key3

直接打开key3,提示没有权限,看来需要提权



用虚拟终端运行命令失败,



那上传个cmd,在上传个大马,执行net user可行



但执行添加用户命令时失败,没回显,添加不成功



看一下系统打的补丁 systeminfo,发现可以利用pr提权,



于是上传个pr.exe,再来添加用户就可以了





看了下端口,3389开着的,



直接远程连接就进去了,然后就可以在C盘根目录下找到key3了



 

第4题:找到内网中web主页下的key4

首先看下内网的ip,远程桌面内执行cmd命令 ipconfig

可以看到内网ip段



上传一个ScanPort,扫描一下内网开放的80端口的ip地址



发现10.1.1.11开放了80端口,于是访问10.1.1.11就可以看到key4



 

第5题:找到后台登陆页面下的key5

直接加admin即可找到后台,发现key5



 

第6题:找到管理员key6的密码(加密值)

在前台随便找了个新闻链接测试了一下,发现存在cookie注入



用注入中转生成一个asp的页面后,再利用IIS服务器运行这个页面,





手工注入一发

http://127.0.0.1:8080/jmCook.asp?jmdcw=65%20union%20select%201,2,3,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20admin%20where%20username='key6'



最后得到key6管理员的加密密码就是Key6了

 

第7题:找到网站跟目录下的key7

进后台后测试可以上传cer后缀的文件,于是上传个cer后缀的大马,顺利拿到内网主机的webshell





 

第8题:找到本地解析域名为key8的值

关于域名解析的文件是hosts文件,

C:\Windows\System32\drivers\etc\hosts

打开就找到了key8



 

总结:还得多学点XSS的姿势~~