【CIPS-PTS(PTE)】综合题详解

zngeek

靶机地址：10.1.11.82
目标：获取靶机上的key
key数量：3个
难度：★★☆☆☆ 2星
题目提示：无

该题目为综合题，仅给出靶机地址，其他无任何信息！

首先探测一下靶机开启的端口（我用自己写的10K左右的portscan一般习惯线程都是1000，但是靶机是挂的VPN访问，结果很多包都超时，我开始以为是靶机防火墙禁ping，还特意加了个参数可以禁止ICMP方式发包，结果是我自己想多了，就是线程太高，VPN不给力，设置个100线程就OK了）
探测出一个125端口是php的web服务


发现需要认证，否则返回401




这里直接使用burpsuite爆破一下
抓包可以看到，在get请求的时候，协议头里面多了一个Authorization的项，后面写明了是basic编码

base64解码看一下，正好是我们测试提交的admin:123456


字典明文格式如下


可以写个小脚本或者小软件批量base64编码一下，也可以直接使用burpsuite自带的base64编码




成功爆破出密码为qwerty




输入用户名admin密码qwerty成功绕过401后，发现该页面无任何的交互功能，仅仅只是一个静态网页而已


接下来可以尝试爆破一下目录
这里要着重说一下，很多目录爆破的工具都是直接多线程get批量发包判断返回code，稍微好一点的让你设置一下user-agent或者cookie，但是很少有带完整协议头的，包括我自己写的时候也没考虑这个问题，所以，所有的返回理所当然的全是401


等哪天心情好，下个版本直接加一个自定义协议头的参数吧~~这里直接先在代码里面写死~


线程只敢设置10条，VPN实在是不给力~
探测出了3个目录


直接访问http://10.1.11.82:125/news/phpmyadmin/ 成功进入phpmyadmin


在news下，可以看到一个留言板,弱口令账号密码均为admin，直接进入管理后台


既然能操作数据库了（当然，这个靶机的web服务全部都是system权限运行的，真实的生产环境肯定没这么简单，提权是必须的~~~），直接试试into outfile在web根目录下写一个一句话木马，web路径可以在留言板的管理后台获得


运行成功后，连接我们的webshell看看
这里一定要注意，所有的web访问都是要带Authorization的，所以在协议头里面一定要加上Authorization: Basic YWRtaW46cXdlcnR5


直接是system权限，可以直接给administrator改一个密码


直接新建一个3389的bat，写入修改注册表的脚本，运行开启靶机的3389（前面端口扫描已经开了3389是因为这次演示是复刻）


成功拿下靶机


三个key分别是web目录下的rebots.txt、key.php以及桌面上回收站的名字


自此，整个综合题全部攻破！！！！

总结：本题整体难度不高，只是有一点绕，所以难度定义为2星，思路就是401基础认证爆破→401目录爆破→mysql into outfile写webshell→开3389修改administrator密码→翻找key。只是注意一点，每次只要与web交互都需要在协议头里带上base64的身份认证！

Bkat

регистрация для дет садика в Жуковском Временная регистрация для школы в Раменском