安全矩阵

 找回密码
 立即注册
搜索
查看: 756|回复: 0

某靶场的打靶笔记

[复制链接]

252

主题

252

帖子

1309

积分

金牌会员

Rank: 6Rank: 6

积分
1309
发表于 2022-12-28 15:48:33 | 显示全部楼层 |阅读模式
原文链接:某靶场的打靶笔记


第一个靶场-

前记:第一个靶场给出提示“非http协议访问”
0x01

浏览器访问地址
编辑

没错!就是打不开。正如题目所说的一样非http协议。
真是搞不懂不是http协议,但是给出的地址是http://ip:端口
呵呵笑了!
0x02

给出了端口,那就扫一下吧。
nmap扫面端口:
nmap -sV -sC -A -T4 ip地址 -p 端口
nmap -sV --version-intensity 9 ip地址 -p 端口
当然第一个扫不出来,所以用了第二个,不要问我这是啥脚本,会用就行!过!
截图如下:
编辑

显示ajp协议(第一次见到这个,有点懵逼,度娘搜搜)
搜了半天,终于有结果了(期间无头脑,俗称瞎找)
0x03

CVE-2020-1938 :Apache Tomcat AJP 漏洞
描述:
Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件,将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受漏洞影响(tomcat默认将AJP服务开启并绑定至0.0.0.0/0).
三、漏洞危害
攻击者可以读取 Tomcat所有 webapp目录下的任意文件。此外如果网站应用提供文件上传的功能,攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 Ghostcat 漏洞进行文件包含,从而达到代码执行的危害
四、影响范围
Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x
五、前提条件
对于处在漏洞影响版本范围内的 Tomcat 而言,若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下,即存在被 Ghostcat 漏洞利用的风险。注意 Tomcat AJP Connector 默认配置下即为开启状态,且监听在 0.0.0.0:8009 。
六.漏洞成因分析:
tomcat默认的conf/server.xml中配置了2个Connector,一个为8080的对外提供的HTTP协议端口,另外一个就是默认的8009 AJP协议端口,两个端口默认均监听在外网ip。
0x04

这部分是自己的曲折路:
既然浏览器不能访问,apche tomcat可以访问,自己建一个来访问看看。
运用现成的环境
编辑

自己搜搜配置来试试,结果
编辑
好嘛,一大堆报错,草贴。给我搞急了,随即蹲马桶去了。
回头想了想,没有先成的exp吗,知道漏洞编码了,去github看看。
0x05

编辑
工具地址:https://www.00theway.org/2020/02 ... loit/#enter-hacking
有的工具是有小bug的
运行截图

编辑
访问index.jsp得到
编辑

那我们就去访问对应的地址!ok获得对应的flag
编辑
第二个靶场

0x01

第二个靶场如图
编辑
编辑
不懂这是啥得可以去问问度娘!
0x02

找漏洞的过程很艰难,看到了sign in 如下
编辑

很人性化知道账号密码放在哪里了,还想着可能有文件读取漏洞之类的,
后来百度一搜,都会有提示账号密码放在这个位置,最后打脸了。尴尬!!!

希望破灭。继续搜漏洞吧
0x03

Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
漏洞描述
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。
影响范围
Nexus Repository Manager 3.x OSS / Pro <= 3.21.1
度娘搜编号就有,用burpsuite抓包看看吧(其实默认密码就是admin,admin后来才发现的)
编辑

好了可以执行了
执行系统命令也可以


​编辑


但就是没回显,这不就是扯犊子了吗,没回显咋看到flag吖,再继续想办法,
0x04

找到一个exp(可以从github上找找看,具体在哪里找的我忘记了)
截图如下:
编辑
这个也是有个小bug,但是我们要的是他的代码
问度娘这个漏洞可以构造回显,需要自己构造,你们可以去搜搜,我就用现成的代码了!开心!!!
编辑

需要加上404:命令
这一步一定要仔细,小心
到这里啊我们可以执行系统命令并且有回显了!美滋滋!!!!
0x05

找flag文件
编辑

竟然在根目录里(这为下一个靶场埋下了伏笔)
读取:
编辑
第三个靶场

0x01

第三个靶场给了一个内容管理系统


​编辑


从下面可以看到
编辑

ok那我们去搜索对应的漏洞
这里我们可以用到kali系统的工具
编辑

本工具是一个收容了许多漏洞,并且会有对应的poc,exp脚本
0x02

使用其中的漏洞需要登录
试了一下注册,不行,漏洞用docker搭建的应该不可以出网,
那就只能试试登录了,哎admin,admin进来了。好家伙,原来后台密码都折磨简单呀!!!
自己在本地搭建了一个一摸一样的网站,源码可以去搜到
源码地址:https://www.jb51.net/codes/563316.html
结合小皮面板把这个网站搭建完成
编辑
编辑

这个域名是我自己起的,你们访问不到的哈
0x03

找漏洞有文件上传漏洞,sql注入漏洞,你们可以自己搭建试试,我没有成功,原因不知!!!!
然后去找了找后台管理。哎 真找到了。访问
编辑

然后寻摸了半天看看有没有修改代码的地方,等等,,,,
好消息是有一个执行sql语句的地方
编辑
更好的消息是这是用root权限启动的。我的天涯!!!这不完美了吗
好,我们下一步的思路就是mysql写入php可执行文件,并且访问,想法很美好,现实很残酷
0x04

mysql写入文件和读取文件:
select "<?php phpinfo();?>" into outfile '/var/www/html/admin/phpinfo.php';
select load_file('/var/www/html/shell.php');
写入了文件成功,但是浏览器访问不到
编辑
可能是网站用www-date开的没有权限访问显示
编辑
哎。难搞呀!!!!
只能读文件,这他喵的我去哪里找flag吖,草贴!!!!
绞尽脑子,去找别的漏洞,哎,没找到
过了一天,!!
哎,,看一看是否和上一个靶场一样的位置
结果
编辑
我的天呢,他喵的 此时只能说 卧槽卧槽卧槽 牛逼!!!!
总结

总体来看都是一些nday漏洞,只是自己拿来用了,没啥好炫耀的!!
又时候方向比努力更重要!!!!



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 05:30 , Processed in 0.013048 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表