zngeek

 找回密码
 立即注册
搜索
查看: 289|回复: 1

【CIPS-PTS(PTE)】综合题详解

[复制链接]

11

主题

16

帖子

551

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
551
发表于 2021-12-23 14:14:06 | 显示全部楼层 |阅读模式
靶机地址:10.1.11.82
目标:获取靶机上的key
key数量:3个
难度:★★☆☆☆ 2星
题目提示:无

该题目为综合题,仅给出靶机地址,其他无任何信息!

首先探测一下靶机开启的端口(我用自己写的10K左右的portscan一般习惯线程都是1000,但是靶机是挂的VPN访问,结果很多包都超时,我开始以为是靶机防火墙禁ping,还特意加了个参数可以禁止ICMP方式发包,结果是我自己想多了,就是线程太高,VPN不给力,设置个100线程就OK了)
探测出一个125端口是php的web服务
1.png

发现需要认证,否则返回401
2.png

3.png

这里直接使用burpsuite爆破一下
抓包可以看到,在get请求的时候,协议头里面多了一个Authorization的项,后面写明了是basic编码
4.png
base64解码看一下,正好是我们测试提交的admin:123456
5.png

字典明文格式如下
6.png

可以写个小脚本或者小软件批量base64编码一下,也可以直接使用burpsuite自带的base64编码
7.png

8.png

成功爆破出密码为qwerty
9.png

10.png

输入用户名admin密码qwerty成功绕过401后,发现该页面无任何的交互功能,仅仅只是一个静态网页而已
11.png

接下来可以尝试爆破一下目录
这里要着重说一下,很多目录爆破的工具都是直接多线程get批量发包判断返回code,稍微好一点的让你设置一下user-agent或者cookie,但是很少有带完整协议头的,包括我自己写的时候也没考虑这个问题,所以,所有的返回理所当然的全是401
12.png

等哪天心情好,下个版本直接加一个自定义协议头的参数吧~~这里直接先在代码里面写死~
13.png

线程只敢设置10条,VPN实在是不给力~
探测出了3个目录
14.png

直接访问http://10.1.11.82:125/news/phpmyadmin/ 成功进入phpmyadmin
15.png

在news下,可以看到一个留言板,弱口令账号密码均为admin,直接进入管理后台
16.png

既然能操作数据库了(当然,这个靶机的web服务全部都是system权限运行的,真实的生产环境肯定没这么简单,提权是必须的~~~),直接试试into outfile在web根目录下写一个一句话木马,web路径可以在留言板的管理后台获得
17.png

运行成功后,连接我们的webshell看看
这里一定要注意,所有的web访问都是要带Authorization的,所以在协议头里面一定要加上Authorization: Basic YWRtaW46cXdlcnR5
18.png

直接是system权限,可以直接给administrator改一个密码
19.png

直接新建一个3389的bat,写入修改注册表的脚本,运行开启靶机的3389(前面端口扫描已经开了3389是因为这次演示是复刻)
20.png

成功拿下靶机
21.png

三个key分别是web目录下的rebots.txt、key.php以及桌面上回收站的名字
22.png

自此,整个综合题全部攻破!!!!

总结:本题整体难度不高,只是有一点绕,所以难度定义为2星,思路就是401基础认证爆破→401目录爆破→mysql into outfile写webshell→开3389修改administrator密码→翻找key。只是注意一点,每次只要与web交互都需要在协议头里带上base64的身份认证!


ZNGEEK
回复

使用道具 举报

0

主题

1

帖子

4

积分

傻白萌新

Rank: 1

积分
4
发表于 2022-7-12 23:44:08 | 显示全部楼层

Временная регистрация район в Ипатово

регистрация для дет садика в Жуковском Временная регистрация для школы в Раменском    
ZNGEEK
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|zngeek |网站地图

Powered by zngeek X3.4© 2001-2013 zngeek