Iuhrey

一个常年被吊打的Web手 一个唱歌不好指弹垃圾的吉他手

记一次靶场的渗透实战

写在前面

之前几天在学linux以及docker的一些基本操作,昨天打一次ctf比赛发现自己水平还是那么菜,好在郁离歌师傅一句”太急了”点醒了我。然后之前靠着一手py搞到了一个靶场,现在刚刚好用到练练手。这一次的题目就是从这里面来的。

注入拿密码

初步观察

打开网站,发现信息量挺多的,不过不急慢慢找突破点。
点开首页,然后在接着点开其他链接发现这是一个asp动态网页。


既然这题目要我们通过注入,那就关注与数据库交互方面的内容。

找到注入点

在新闻界面发现了有与数据库交互的内容,一个查询界面通过id号来查询新闻内容。

这里我稍微尝试了一下,试着测试了一下,在get传参的时候有waf拦截了一些关键词查询,这里有两种思路可以选择,第一是通过一些技巧来绕过过滤,不过我在测试的时候发现了一个问题,这里连‘’都过滤了,其他可用函数也无法构造完整语句来查询。所以基本可以考虑第二种方式,去找其他注入点,凡是与数据库交互的都是可以注入的。
这里我抓了个包,方便我们找出其他交互的点。

抓包之后发现了还有一个cookie可以进行交互,这里可以尝试一下。
PS:其实这里我也没想到能这样,源码是通过request来获取id参数值,asp也一般都是通过request来传参,所以我们可以通过cookie来给id进行赋值,而cookie一般是很少过滤的。

开始注入

通过cookies managers+插件改cookie直接访问http://120.203.13.111:8001/shownews.asp,而不通过get的方式来进行传参。测试是什么类型的注入。值得注意的是,我在测试的时候发现cookie里面的+是被替换为了空格,所以在输入的时候要注意一下。
输入id=172-1的时候发现,它跳到了171的界面,那这个是数字型注入没得跑了。

1
2
id=171 order by 10 回显正常
id=171 order by 11 回显不正常

接着判断回显位数,不过这里需要猜列名,一般的话会有什么admin,admins,user等等,可以试着猜解一下。

1
id=171 union select 1,2,3,4,5,6,7,8,9,10 from admin

这里显示出了回显位。

接着爆出username,password。

1
id=171 union select 1,username,password,4,5,6,7,8,9,10 from admin

找后台

现在用户名和密码到手,可以试着去找后台进行登入了。
尝试了一下发现后台为120.203.13.111:8001/admin/,然后输入密码和用户就行了,密码记得解个md5。

CSRF进后台

上面这个后台一眼就能看出是假的,所以应该还有真正的后台。
用工具扫了扫,发现一堆目录。

既然admin不行,那可以试试admin123

登入进去发现不太对。具体如下:


分析一下源码可以大致理解这里需要我们更改Referer,也就是从哪里传来的数据包,所以抓包改referer。
所以访问我们所要访问的页面,然后进行抓包。

修改http头,注意端口要一致,否则会出现无法响应的情况。

PS:还有一种方法是通过构造本地的链接去访问http://127.0.0.1/admin123/sysadmin_view.asp

XSS拿cookies

在测试的时候,我们在找注入点的时候发现了还有一个留言板的页面。

这里可以实验一下我们之前在xss挑战赛练习的骚操作。
测试的时候发现这里没有过滤任何东西,所以不用考虑绕过的一些技巧。
管理员会定时的来查看留言,那么我们只要构造一个导向链接把管理员的cookies导入到我们的接收平台就行了,这里就用网上提供的xss接收平台吧。
一键生成Payload,虽然自己也不太会写这些代码。不过能用就行了。

直接把payload丢到留言区等管理员查看就好。

cookie值到手。

传马拿shell

接下来就是找上传文件的地方了。这个ip不仅仅提供了8001端口,还提供了8002端口,8001两个后台都去过了所以接着去8002的后台看看。登入网址为:http://120.203.13.111:8002/admin/login.asp
修改cookie就能进后台了。

找到上传文件的地方。

制作图片马。

菜刀连接的时候发现并不能成功连接,错误提示了IIS6.0无法解析,具体原因我百度了一番。不成功是因为图片马无法被解析
IIS6.0是可以使用;,我又试着写了一个1.asp;1.jpg的小马上传,但是被检测出了无法上传。这里会检测是否是真的图片。百度的时候还发现了一个IIS6.0的解析缺陷,也就是类似cer,asa,cdx是被忽略没被过滤的,那我们可以试试把图片马后缀名改为cer试试。

成功连接,找敏感文件就行了,这里直接找到flag.txt文件。

提权

提权后续就不写了,对应的exp百度自行即可,说到底我自己也不会只是单纯的利用人家的工具而已,所以提权就不再往下写了。

写在后面

这算是一次完整的流程吧,经过这一次半实战的演练可以尝试去拿一些其他的站点了。
持之以恒!!

本站总访问量