这也是一道实战题,打开网站页面是一个认证页面,告诉我们用户名为 admin,那么需要爆破密码。
抓包发现是 Authorization 认证
将数据包发送至 intruder,设置遍历节点
上述遍历点为 base64 编码,解码后为 admin:123,所以我们设置 payload 也需要设置和其一致的格式。
设置 payload type:Custom iterator
第一个值为用户名 admin
第二个为冒号
第三个加载字典文件
添加 payload processing,对上述内容(admin:123)进行 base64
设置完成后,就可以开始爆破了,成功获取到结果。
获取到用户名密码 admin
用户名密码登录后有个 key
尝试弱口令登录,弱口令登录无果,访问下 robots.txt 看看,发现个 sql 文件
尝试访问 sql 文件,发现个存在 admin 用户的帐号密码,密码 md5 加密了
对 md5 破解,找到个密码 qwerty
尝试目录遍历,看是否有其他目录,用御剑扫描,扫描到 phpmyadmin 但是显示 401
由于没有 auth 认证的缘故。鉴于此,那么只能用带着 auth 认证爆破目录
没有爆破到有用的东西
通过 md5 爆破的密码登录,成功登录,后台界面如下:
后台存在上传图片的功能,尝试文件上传
直接上传 php 文件上传失败
将 content-type 改成 image/jpeg 格式,文件上传成功。
回到后台页面,复制连接。
webshell 链接为http://10.1.10.71/uploadfile/16899143312s.php,连接 webshell,添加 http 头,base64 认证。
编码 base64 编码。
成功连接 webshell。
执行命令,system 权限。
添加帐号
开启 3389,直接用系统自带的工具开启
自己创建的账户无法获取到 key,得修改管理员的密码
key 放在回收站,还原即可
