奇安信天擎卸载密码_【web安全】记奇安信“渗透测试”培训
0x00前言这份笔记记录了2020.7在奇安信培训时的渗透测试,说是渗透测试,是实在找不到太合适的名字了,因为糅杂了很多ctf的东西,所以单纯按照渗透的想法做是不行的。所有的测试需要的端口都要自己扫描出来,大致在2014~2030上,但有些被人玩坏了,以后找时间补上,每道题都有5个flag,没找全就是能力不够。对于端口扫描,直接上御剑干就完了,(顺便一提,御剑这东西扫描可以开到100线程,对本机没太大影响,但服务器不一定能抗得住,所以客户现场不给授权,坚决不干活)
0x01开始
1.2014
我们在源码中查不到信息,并且御剑也扫不出来东西,所以只能抓包找结果这里要好好找才能看到,所以这题很ctf,然后跟进这条线索,能得到第一个flag
然后查看源码,得到第二个信息继续跟进,他说只有本机才能登陆,那就是提示x-forwarded-for:127.0.0.1了
注意改包的时候,不要把XFF头放在最后面,要放在源请求包中间位置,不知道为啥,反正那样不行,我以后会放在Host后面,以下是抓包结果能得到第二个flag,并且提示system_skkkwwwwqad/index.php,跟进
发现网页URL中好像有?id=1这样能注入的东西,扔进sqlmap里试试整挺好,直接有数据库,看着news比较可疑,跟进dump数据库信息,得到第三个flag,并且给出了信息点tool_sssiikopw.php回溯到网页report1那里,发现是secret,看不了,猜测是php伪协议
path=php://filter/convert.base64-encode/resource=flag.php
结果不对。。。到这一步怎么都不对,很气人,还是题做少了,要不应该能大胆怀疑不是这个flag.php了。我们用御剑扫xxx.com:2014/system_skkkwwwwqad/这个路径,看他还藏了什么东西,得到还有robots.txt
看一下robots.txt藏了什么东西,得到flag_adwqoeuiouerr.php
php伪协议读一下
path=php://filter/convert.base64-encode/resource=flag_adwqoeuiouerr.php
解码base64得到第四个flag还给了一个看似一句话木马的东西,好像是想给我们一个一句话的密码,但我们不知道这个木马叫什么,在哪也不知道。这时候我们想到之前看robots.txt的时候,还有这个flag_adwqoeuiouerr.php没看,很可能就是一句话。
连一下,OK这里面应该还能找到一个flag,不找了,可能需要后续提权2.2015
这道题也不错,首先扔到御剑里扫,发现images,把mt2复制到本地winhex打开,得到flag2查看login,有账号密码验证,查看源码没有东西,爆破也就那样,没结果
我们注意到URL里的page=login,有点文件包含的味道,并且看源码中,page等于什么就跳转到什么,那就文件包含试试payload:
?page=php://filter/convert.base64-encode/resource=mysql
(这里的mysql.php我的御剑没有扫出来,旁边大佬的扫出来告诉我的)
解base64后得到数据库的账号密码然后比较坑的就是数据库的端口,老师直接说的2016,(好像是做的端口映射,直接扫扫不到)连进去之后得到flag1然后在users表中得到账号密码然后把密码解base64,再登录上login
登陆之后可以上传,先传个php一句话,提示只允许上传图片
然后尝试图片马,这里不能抓包改后缀,那应该是传上之后没有解析,虽然菜刀也能连上,但是用处不大回溯到数据库,我们有数据库写权限,所以利用mysql写一句话木马然后访问一句话,xise连上之后拿到flag3之后传上大马,反弹shell(尝试提权未成功)3.2017
我个人还是挺怕这种直接就是登录界面的,给人一种被逼着爆破的感觉,很不好,先查看源码,base64解出来得到第一个flag然后尝试万能密码,还是比较好的这道题,顺手把网上万能密码的文章抄下来了,以备后用
1' or 1=1#
很舒服得到第二个flaggo on 进去之后让给一个IP地址然后我们用管道符 | 命令执行尝试
|ls
得到第二个flagcat 取一下
|cat flllllllllllllllag.txt
得到第三个flag,并给出提示信息/123321,看起来这个文件夹里有东西,我们找找
|ls ../
看到123321之后跟进
|ls ../123321
|cat ../123321/flag.txt
拿到第四个flag,然后别忘了用御剑扫一下
搜索flag字段,找到第五个flag4.2018
御剑扫一下
跟进robots.txt
查看flag1
还有一个mail的邮箱登录界面,我们暂时也没账号密码,爆破也不成功
然后跟进usage,整出个这玩意,我之前没见过,但看起来好像是某种后台记录、后台管理之类的东西还是很有用的,因为发现了之前御剑没扫出来的xss.php跟进这个xss.php,是可以用反射型xss的(dom型和存储型没试)
然后查看源码发现flag2第三个flag就很坑了,这纯看经验吧,我们看到这里的链接是?page=blog,并且我们访问blog,page就等于blog,好像没什么问题
然后这里访问contact,page就等于contact,有可能这个page存在文件包含,这个只能说经验了
然后用php://filter不行,(好像哪里写过php:filter很靠谱,打脸了),其实php伪协议使用是有条件的,需要allow_url_fopen=on,不需要开启 allow_url_include,详细的文件包含看文件包含.pdf,师傅总结的很好。所以这道题需要用%00截断,然后得到flag3
在朝后也挺看经验,我们在回顾blog的界面,我们看到第一个blog的id=2,第二个blog的id=5
也就是说给一个id就去查询这个id,所以猜测是sql注入,毕竟其他的点也找不到突破口了,sqlmap跑一下,这里需要提醒,sqlmap -u " XXX" --dbs有时候是出不来的,需要--banner --dbs,--banner是获取数据库管理系统对的标识(我也不知道啥意思,但以后都加着吧),另外不加""的话也会出问题,不知道为什么(之前一直是不加分号的)
sqlmap.py -u "http://xxx.com:2018/index.html?page=blog&title=Blog&id=2" --banner --dbs
得到数据库查看mitian的表
sqlmap.py -u "http://xxx.com:2018/index.html?page=blog&title=Blog&id=2" -D mitian --tables
发现flag4回去看user表得到账号密码,但是这个密码应该是MD5之后的,解一下试试这样有账号密码了我们回头登录mail,登陆之后邮件不少,但好像都没用。。。
然后ssh连上(2042端口是老师说的,好像是做的端口映射,我们扫不出来,有点迷)
拿到flag55.2019
拿到这道题还是先扔到御剑里跑一下,毕竟源码没东西,抓包没东西,只能这样了,别给老子提服务器撑不撑得住,造就完了
robots.txt暴露了,看一下
暴露了/dev,看一下
这里需要密码,然后上传文件,我们先随便写个一句话,随便写个一句话传一下,看他怎么说,给的提示是非法文件那我们尝试传个图片马试试,看看是不是黑名单他提示密码错误,说明是黑名单,但是需要密码,所以我们有两个思路,一个是传.htaccess直接去解析一个图片马,另一个是查找黑名单中是否有未过滤完全的,但是不论哪种思路,都需要密码才能穿上,我们应该先找密码。我们看到还有一个忘记密码的选项,点开之后,告诉我们请先。。。我们看一下源码,他提示说看文件名,那么就是127,应该是在忘记密码哪里抓包,加上XFF头,应该就行试试呗。给了flag1和一段ook加密的东西解出来就是密码:d1c8ff84e我们传个.htaccess(乱七八糟的图片木马和D盘的web里都有,但注意我那个里面只解析了jpg的)
我们发现这个上传成功了,所以接着穿一个图片马,因为我们知道他是限制了后缀名,所以试试。
发现也曾是成功的,菜刀连他
http://xxx.com:2019/dev/upload/password.jpg
这里面应该也会有flag,应该有两三个,但有的需要权限,后续提权再补上我们再多提一句,上面说到的第二个思路就是看黑名单没过滤全,将检验pht后缀没被过滤,可以上传并解析执行。6.2020这道题是一个cms系统,我们上网查一下有代码执行的漏洞,但不知道版本,先没管
扔到御剑里扫出来暴露了robots.txt
看一下
跟进 xyhai.php,进入后台从网上搜到默认账号密码是xycms/123456,登录进后台,可以得到flag1
做到这就很生气了,因为在系统设置的网站设置中有上传配置,我们可以看到这是允许添加上传文件类型的,所以可以穿上一句话,并且我之前也传上去了,但是现在说路径不存在,这绝对是被人改东西了我查了一下这个路径是存在的,所以路径没有问题,可能是限制了上传路径,我打算换个路径传,但也被禁了,技术比我好,顺便找到了第二个flag,写一下后续思路,方便回头补上,(如果没记错的话)传上一句话之后,菜刀连上,传大马,反弹shell,然后提权(注意:以后能传上一句话之后一定要传大马,然后反弹shell,再提权,这是必然的后续步骤)提权后到root路径下有一个flag5,然后在另个地方有一个文件放着数据库信息,有账号密码和flag3,连上数据库之后还有一个flag4。(总之这道题很贴近渗透流程,后续一定要补上)7.2021
查看源码和抓包都没有结果后,扔到御剑里扫,发现有robots.txt
打开之后有
得到一个flag
base64解码一下然后在admin_area中发现了
查看源码,得到登录的账号密码和一串十六进制数
先解一下16进制数,直接拿到flag2回到登录页面登录进去,得到一个上传点,这是一个任意文件上传,可以直接传马但是传上之后没有给上传路径,但是robots.txt中给出了upload,所以查看一下,应该又被玩坏了,但这道题是唯一一个当时提权成功了的,没法复现了,好可惜。8.2022
上来还是给的登录界面,这道题没有暴露robots.txt,源码也没看到信息,好像只能爆破了。。。这就很气,又要看脸了。然后我的字典有一次不负众望的没跑出来(应该就是要爆破的,最后账号密码是admin/admin888)登录后是这样,看到有flag1
查看源码得到flag1
然后找他的上传,传个一句话试试,然后被拦截说后缀名不对,而且是个白名单啊,那就直接图片马改包吧(多写一句,传图片马改包的方法只能绕过前端的检测,后端的不行,某整程度上还是.htaccess靠谱点,如果不是白名单的话,但如果把.htaccess禁了的话,还是很难办,要么找黑名单没过滤的,这个就看脸了,或者就找别的漏洞比如命令执行或者远程文件包含吧)总之这道题的图片马改包还是可以的,并且给出了上传路径,貌似这道题没被破坏,感觉自己在做抢救性挖掘,还给出了flag3
先看一下这个一句话,发现没有权限看
但是文件应该是传上了,可以菜刀连一下试试能连上,但是权限太低了,啥也干不了,whoami都不行,后续可以提权,但是考虑到登陆进去之后还有一个包含,我们先去看看这个文件包含在file3.php中有flag4
那我们试一试文件包含,整挺好,直接拿到/etc/passwd
我们回头找找flag4,注意我们的flag4是在file3.php中的,我们需要用php伪协议读取文件内容(对于文件包含看文件的问题,还是php伪协议最靠谱)payload:
?page=php://filter/convert.base64-encode/resource=phpfile3.php
base64解码一下,得到flag4然后我们在刚刚传上一句话的时候,提示有flag3,我们也用文件包含的方法拿出来,payload:
?page=php://filter/convert.base64-encode/resource=../upload.php
base64解码出来,找到flag3别急,这时候我偶然看到浏览器的cookie中有flag2,对于这个flag2我记得好几道题都是放在这个cookie里的,我不知道是不是没失效,但已经拿到三个flag了,好像这个flag2放在这里好像也没什么问题。。。
知道这个之后,我们重新回顾上传的一句话,我们知道,连接一句话的时候可以添加登录的cookie信息,我们尝试把登陆后的cookie写进去再连接。(但是填上cookie也没有用,大佬告诉我就是这么做的,不会了。。。)9.2023越朝后越难,但题目质量也越高,所以我就更做不出来
你看这题的cookie也有flag2,所以就很迷。。。源码有个16进制数,转字符之后再接base64得到如下得到flag1
之后线索就很猥琐了,在标题处是/Challenges所以跟进/Challenges,这个不是常用路径,所以御剑扫不出来
又是账号密码,实在找不到信息,做不出来了。。。▼往期精彩回顾▼tomcat PUT方法任意写入文件漏洞【系统分享】anhunsec靶场练习系统【二进制安全】某APT样本分析END
奇安信天擎卸载密码_【web安全】记奇安信“渗透测试”培训相关推荐
- 卸载流氓软件奇安信天擎(无需密码,无需关闭自我保护)
流氓软件奇安信天擎是真流氓,下面介绍如何卸载奇安信天擎 首先打开 按shift 点击重启键 进入安全模式:选择疑难解答->高级选项->启动设置->重启->4->安全模式. ...
- 通达信板块监控指标_【精选指标】通达信创业板涨停变色主图指标,助你股海捉龙擒牛!...
手机指标公式 每天坚持更新, 分享不一样.更多.更实用的手机版通达信指标公式,以股会友,助你股海捉龙擒牛! 使 用 说 明 1 分享的指标公式为手机版本通达信使用指标公式,其他软件 ...
- Web安全第 01 讲:渗透测试方法论
一.Web工作机制 1.1.浏览网站经历的过程 本地缓存 --> host --> IP/ARP --> DNS --> IP --> 网关--> 路由--> ...
- linux 渗透工具_适用于Linux的十大最佳渗透测试工具
linux 渗透工具 This article covers some of the best penetration testing tools for Linux Cybersecurity is ...
- web渗透测试培训,如何做信息收集?
系统漏洞->中间件漏洞->web漏洞 信息收集分为:主动信息收集和被动信息收集 ·主动信息收集:主动信息搜集是与目标主机进行直接交互,从而拿到我们的目标信息. ·被动信息收集:不与目标主机 ...
- 360天擎默认卸载密码_用好360(四)
360软件管家的使用设置 360软件管家是360安全卫士中的一级功能性程序,可独立使用,内容包括"宝库.游戏.商城.净化.升级.卸载"等,主要功能是对各类应用软件进行管理,包括安装 ...
- 360天擎默认卸载密码_装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广...
[快讯] 近期,火绒收到用户反馈,称在使用老毛桃U盘启动装机工具制作的PE系统后,原有系统中多款安全软件被无故删除.火绒工程师溯源发现,上述使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统 ...
- 北信源管理网页卸载密码_怎么卸载找不到程序的流氓软件?
一般来说,卸载软件需要在控制面板或者第三方专业卸载软件,但是如果在控制面板或者卸载软件列表里找不到流氓软件的话,就必须采取特殊方法了. 方法一:控制面板卸载 在windows系统自带的"控制 ...
- 360天擎卸载密码_Windows安装和完全卸载MySQL8.0(超详细教程)
前言 MySQL8相比之前版本改动还是挺大的,因为刚从安装接触,就先从基本的说起.现在的mysql8安装只能采用解压配置版,像以前老版本的傻瓜式安装将不复存在. 注意点 MySQL8之后并不需要my. ...
- 安卓的短信记录导入苹果_如何将安卓手机短信导入到iphone(未越狱)
展开全部 一.安卓手机短信导出 首先在安卓手机安装QQ同步助手,登陆后点击"更多",选择"备份至网络": 在电脑上62616964757a686964616fe ...
最新文章
- 78.Zabbix监控Nginx
- DL之MobileNetV2:MobileNetV2算法的简介(论文介绍)、架构详解、案例应用等配图集合之详细攻略
- Android实践 -- 对apk进行系统签名
- SpringBoot文件上传大小设置(yml中配置)
- cmd怎么使用post请求’_flutter中dio的post请求方式使用总结
- ios textView显示不全
- 一种自动(半自动)学习的算法(验证码识别)
- java学习中,二分法查找数组中的元素(java 学习中的小记录)
- 抖音品质建设 - iOS启动优化《原理篇》
- 【ML小结7】贝叶斯分类器:朴素、半朴素贝叶斯
- 规避VMware虚拟机检测
- 尚硅谷视频分享_硅谷的女儿分享了她的“书呆子”故事
- Hadoop KMS 透明加密配置以及测试
- icon 做成html形式,CSS icon的各种做法
- 特此感谢!酷睿12、希捷硬盘、机械键盘……免费送大家
- win2008服务器系统玩红警,Win10系统玩不了红警2怎么办?
- 3D游戏物理开发引擎Panda3D基础
- 通过access口加vlan标签吗_[转载]vlan与trunk打标签过程
- DeepBrain Chain 深脑链——将区块链与AI相结合的前沿科技
- 电脑快捷键全都在这了!电脑技巧收藏!