bugku渗透测试 1 writeup(无需VPS)

bugku渗透测试 1 writeup(无需VPS)

靶场地址:BugKu渗透测试1

该靶场只需要20金币就可以开启两小时,算的上非常良心实惠了,趁着有空赶紧刷一刷题目

目录

第一场景:

第二场景:

第三场景:

第四场景:

第五场景:

第六场景:

第七场景:

第八场景: 

第九场景:

第十场景:

第十一场景:


bugku渗透测试 1 writeup(无需VPS)

第一场景:

bugku渗透测试 1 writeup(无需VPS)

进入靶场

bugku渗透测试 1 writeup(无需VPS)

 打开F12即可看到flag,并提示下一个flag在后台

第二场景:

bugku渗透测试 1 writeup(无需VPS)

扫描目录,查找网站后台。发现有admin的后台

bugku渗透测试 1 writeup(无需VPS)

bugku渗透测试 1 writeup(无需VPS)

使用弱密码 admin/admin登录

bugku渗透测试 1 writeup(无需VPS)

进入到后台,在基本信息一列可以看到第二个flag

第三场景:

 

bugku渗透测试 1 writeup(无需VPS)

发现有上传点,但是上传限制在前端可以设置,添加php格式为白名单

bugku渗透测试 1 writeup(无需VPS)

 创建php一句话木马

bugku渗透测试 1 writeup(无需VPS)

 在网站上传点进行上传,网站提示后缀名不能为空,联想到文件上传到服务器,被检测出PHP后删除了后缀。尝试双写php绕过

bugku渗透测试 1 writeup(无需VPS)

双写后进行上传

bugku渗透测试 1 writeup(无需VPS)

 上传成功,访问该php木马

 

bugku渗透测试 1 writeup(无需VPS)

 php木马上传成功且能访问,利用webshell管理工具进行连接php木马(此处我用蚁剑)

bugku渗透测试 1 writeup(无需VPS)

bugku渗透测试 1 writeup(无需VPS)

在/home/ctf/   目录下可以找到flag 

 第四场景:

bugku渗透测试 1 writeup(无需VPS)

 在/var/www/html/app/database.php 文件中,可以看到数据库的账号密码。拿到数据库账号密码后进到数据库获取flag。(蚁剑可能连不上,建议用哥斯拉)

bugku渗透测试 1 writeup(无需VPS)

再次添加数据库配置文件

bugku渗透测试 1 writeup(无需VPS)

连接数据库

bugku渗透测试 1 writeup(无需VPS)

可以在数据库里找到我们第四个flag

第五场景:

第六场景:

bugku渗透测试 1 writeup(无需VPS)

上传fscan,进行内网横向扫描

bugku渗透测试 1 writeup(无需VPS)

为fscan软件添加777权限,并在此打开终端

bugku渗透测试 1 writeup(无需VPS)

首先判断该IP在哪个网段,再扫描同网段的C段IP

./fscan -h 192.168.0.1/24

 由于蚁剑特性,可能扫描fscan后无法回显在也虚拟终端上

bugku渗透测试 1 writeup(无需VPS)

回到目录下 fscan会输出一个result.txt 文件记录扫描结果

bugku渗透测试 1 writeup(无需VPS)

看到有其他的站点存在漏洞

利用Neo-reGeorg-master做正向代理,就无需VPS即可内网遨游

bugku渗透测试 1 writeup(无需VPS)

python neoreg.py generate -k 密码

bugku渗透测试 1 writeup(无需VPS)

  执行命令后将会在目录下生成neoreg_servers文件

bugku渗透测试 1 writeup(无需VPS)

 将与站点对应的语言脚本放进目录底下,该站点为php建站,放入php语言。

bugku渗透测试 1 writeup(无需VPS)

python neoreg.py -k 密码 -u 网站URL -p 1080

在目录低下执行命令

bugku渗透测试 1 writeup(无需VPS)

利用Proxifier连接代理, IP为本地127.0.0.1 端口为1080(端口可根据自行修改)

如果代理成功后即可进行内网穿梭

bugku渗透测试 1 writeup(无需VPS)

访问192.168.0.1:8080站点,遇到登录框,首先先扫描一下网站的后台目录

bugku渗透测试 1 writeup(无需VPS)

发现有robots.txt  访问站点

bugku渗透测试 1 writeup(无需VPS)

找到第六个flag

第七场景:

bugku渗透测试 1 writeup(无需VPS)

原本想尝试爆破登录框,恰好在burp上发现了该站点存在shiro反序列化

bugku渗透测试 1 writeup(无需VPS)

进一步确认shiro框架,在回显包Cookie中有deleteme

bugku渗透测试 1 writeup(无需VPS)

 掏出shiro反序列化工具进行漏洞检测,爆破出key值以及漏洞利用链。

bugku渗透测试 1 writeup(无需VPS)

利用工具直接写入内存马

bugku渗透测试 1 writeup(无需VPS)

 利用webshell连接木马

bugku渗透测试 1 writeup(无需VPS)

 在/home/ 下可以找到第七个flag

第八场景: 

因为权限不足,我们进行提权。

bugku渗透测试 1 writeup(无需VPS)

find / -perm -4000 -type f 2>/dev/null 

先查看具有suid权限的可执行二进制程序,发现有find。可以进行suid提权

bugku渗透测试 1 writeup(无需VPS)

find anyfile -exec whoami \;            #anyfile:在你所在的目录文件下的任意文件
find anyfile -exec cat /root/flag  \;    #做到root权限,去访问root/flag 文件

利用suid提权,可以访问到/root/目录下的文件,获取到flag

第九场景:

在之前fscan扫描中,可以发现在192.168.0.4段还有web服务,进行访问

bugku渗透测试 1 writeup(无需VPS)

进行一系列的功能点测试

 

bugku渗透测试 1 writeup(无需VPS)

在页面报错后发现报了网站绝对路径以及网站框架。 ThinkPHP V5.0.20版本存在RCE漏洞。

bugku渗透测试 1 writeup(无需VPS)

 利用工具扫描该框架漏洞,发现了存在RCE以及 数据库信息泄露

password:aman123 database:aman (记住后续需要用到)

bugku渗透测试 1 writeup(无需VPS)

 写入内存马并连接

bugku渗透测试 1 writeup(无需VPS)

在/var/www/html/   目录下发现flag

第十场景:

利用刚刚框架漏洞检测出的数据库账号密码登入数据库

bugku渗透测试 1 writeup(无需VPS)

 添加数据库并检索数据库文件

bugku渗透测试 1 writeup(无需VPS)

 发现了第十个flag,并提示root(提权)

第十一场景:

明天写

                       

点击阅读全文

上一篇 2023年 6月 5日 am10:28
下一篇 2023年 6月 5日 am10:30