某靶场的打靶笔记

chenqiang

原文链接：某靶场的打靶笔记

​
第一个靶场-

前记：第一个靶场给出提示“非http协议访问”
0x01

浏览器访问地址

​

编辑

没错！就是打不开。正如题目所说的一样非http协议。
真是搞不懂不是http协议，但是给出的地址是http://ip:端口
呵呵笑了！
0x02

给出了端口，那就扫一下吧。
nmap扫面端口：
nmap -sV -sC -A -T4 ip地址 -p 端口
nmap -sV --version-intensity 9 ip地址 -p 端口
当然第一个扫不出来，所以用了第二个，不要问我这是啥脚本，会用就行！过！
截图如下：

​

编辑

显示ajp协议（第一次见到这个，有点懵逼，度娘搜搜）
搜了半天，终于有结果了（期间无头脑，俗称瞎找）
0x03

CVE-2020-1938 ：Apache Tomcat AJP 漏洞
描述：
Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件，将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受漏洞影响（tomcat默认将AJP服务开启并绑定至0.0.0.0/0）.
三、漏洞危害
攻击者可以读取 Tomcat所有 webapp目录下的任意文件。此外如果网站应用提供文件上传的功能，攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件（上传的文件本身可以是任意类型的文件，比如图片、纯文本文件等），然后利用 Ghostcat 漏洞进行文件包含，从而达到代码执行的危害
四、影响范围
Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x
五、前提条件
对于处在漏洞影响版本范围内的 Tomcat 而言，若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下，即存在被 Ghostcat 漏洞利用的风险。注意 Tomcat AJP Connector 默认配置下即为开启状态，且监听在 0.0.0.0:8009 。
六.漏洞成因分析：
tomcat默认的conf/server.xml中配置了2个Connector，一个为8080的对外提供的HTTP协议端口，另外一个就是默认的8009 AJP协议端口，两个端口默认均监听在外网ip。
0x04

这部分是自己的曲折路：
既然浏览器不能访问，apche tomcat可以访问，自己建一个来访问看看。
运用现成的环境

​

编辑

自己搜搜配置来试试，结果

​

编辑
好嘛，一大堆报错，草贴。给我搞急了，随即蹲马桶去了。
回头想了想，没有先成的exp吗，知道漏洞编码了，去github看看。
0x05

​

编辑
工具地址：https://www.00theway.org/2020/02 ... loit/#enter-hacking
有的工具是有小bug的
运行截图

​

编辑
访问index.jsp得到

​

编辑

那我们就去访问对应的地址！ok获得对应的flag

​

编辑
第二个靶场

0x01

第二个靶场如图

​

编辑

​

编辑
不懂这是啥得可以去问问度娘！
0x02

找漏洞的过程很艰难，看到了sign in 如下

​

编辑

很人性化知道账号密码放在哪里了，还想着可能有文件读取漏洞之类的，
后来百度一搜，都会有提示账号密码放在这个位置，最后打脸了。尴尬！！！

希望破灭。继续搜漏洞吧
0x03

Nexus Repository Manager 3 远程命令执行漏洞（CVE-2020-10199）
漏洞描述
Nexus Repository Manager 3 是一款软件仓库，可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中，存在一处任意EL表达式注入漏洞。
影响范围
Nexus Repository Manager 3.x OSS / Pro <= 3.21.1
度娘搜编号就有，用burpsuite抓包看看吧（其实默认密码就是admin,admin后来才发现的）

​

编辑

好了可以执行了
执行系统命令也可以
​

​编辑

​
但就是没回显，这不就是扯犊子了吗，没回显咋看到flag吖，再继续想办法，
0x04

找到一个exp（可以从github上找找看，具体在哪里找的我忘记了）
截图如下：

​

编辑
这个也是有个小bug，但是我们要的是他的代码
问度娘这个漏洞可以构造回显，需要自己构造，你们可以去搜搜，我就用现成的代码了！开心！！！

​

编辑

需要加上404：命令
这一步一定要仔细，小心
到这里啊我们可以执行系统命令并且有回显了!美滋滋！！！！
0x05

找flag文件

​

编辑

竟然在根目录里（这为下一个靶场埋下了伏笔）
读取:

​

编辑
第三个靶场

0x01

第三个靶场给了一个内容管理系统
​

​编辑

​
从下面可以看到

​

编辑

ok那我们去搜索对应的漏洞
这里我们可以用到kali系统的工具

​

编辑

本工具是一个收容了许多漏洞，并且会有对应的poc，exp脚本
0x02

使用其中的漏洞需要登录
试了一下注册，不行，漏洞用docker搭建的应该不可以出网，
那就只能试试登录了，哎admin,admin进来了。好家伙，原来后台密码都折磨简单呀！！！
自己在本地搭建了一个一摸一样的网站，源码可以去搜到
源码地址：https://www.jb51.net/codes/563316.html
结合小皮面板把这个网站搭建完成

​

编辑

​

编辑

这个域名是我自己起的，你们访问不到的哈
0x03

找漏洞有文件上传漏洞，sql注入漏洞，你们可以自己搭建试试，我没有成功，原因不知！！！！
然后去找了找后台管理。哎 真找到了。访问

​

编辑

然后寻摸了半天看看有没有修改代码的地方，等等，，，，
好消息是有一个执行sql语句的地方

​

编辑
更好的消息是这是用root权限启动的。我的天涯！！！这不完美了吗
好，我们下一步的思路就是mysql写入php可执行文件，并且访问，想法很美好，现实很残酷
0x04

mysql写入文件和读取文件：
select "<?php phpinfo();?>" into outfile '/var/www/html/admin/phpinfo.php';
select load_file('/var/www/html/shell.php');
写入了文件成功，但是浏览器访问不到

​

编辑
可能是网站用www-date开的没有权限访问显示

​

编辑
哎。难搞呀！！！！
只能读文件，这他喵的我去哪里找flag吖，草贴！！！！
绞尽脑子，去找别的漏洞，哎，没找到
过了一天，！！
哎，，看一看是否和上一个靶场一样的位置
结果

​

编辑
我的天呢，他喵的 此时只能说 卧槽卧槽卧槽 牛逼！！！！
总结

总体来看都是一些nday漏洞，只是自己拿来用了，没啥好炫耀的！！
又时候方向比努力更重要！！！！

​