這也是一道實戰題,打開網站頁面是一個認證頁面,告訴我們用戶名為 admin,那麼需要爆破密碼。
抓包發現是 Authorization 認證
將數據包發送至 intruder,設置遍歷節點
上述遍歷點為 base64 編碼,解碼後為 admin:123,所以我們設置 payload 也需要設置和其一致的格式。
設置 payload type:Custom iterator
第一個值為用戶名 admin
第二個為冒號
第三個加載字典文件
添加 payload processing,對上述內容(admin:123)進行 base64
設置完成後,就可以開始爆破了,成功獲取到結果。
獲取到用戶名密碼 admin
用戶名密碼登錄後有個 key
嘗試弱口令登錄,弱口令登錄無果,訪問下 robots.txt 看看,發現個 sql 文件
嘗試訪問 sql 文件,發現個存在 admin 用戶的帳號密碼,密碼 md5 加密了
對 md5 破解,找到個密碼 qwerty
嘗試目錄遍歷,看是否有其他目錄,用御劍掃描,掃描到 phpmyadmin 但是顯示 401
由於沒有 auth 認證的緣故。鑒於此,那麼只能用帶著 auth 認證爆破目錄
沒有爆破到有用的東西
通過 md5 爆破的密碼登錄,成功登錄,後台界面如下:
後台存在上傳圖片的功能,嘗試文件上傳
直接上傳 php 文件上傳失敗
將 content-type 改成 image/jpeg 格式,文件上傳成功。
回到後台頁面,複製連接。
webshell 鏈接為http://10.1.10.71/uploadfile/16899143312s.php,連接 webshell,添加 http 頭,base64 認證。
編碼 base64 編碼。
成功連接 webshell。
執行命令,system 權限。
添加帳號
開啟 3389,直接用系統自帶的工具開啟
自己創建的帳戶無法獲取到 key,得修改管理員的密碼
key 放在回收站,還原即可
