fristilake靶机
1.扫网段,扫端口,扫服务
2.发现80 端口打开,首先去网页看看
发现下面有很多@人名 想到是不是这些人名就是用户名还有待商榷。整个页面都点了一遍没有可用的东西。
3.于是使用dirb扫一扫
整个dirb扫描出来有一个403不做考虑,有一个index是粉红色主页面,能看的只有robots.txt
于是访问,发现三个界面都是下图如此。
4.dirb扫描出来的结不尽人意,转而去网页源码看看:
发现也没有什么可以利用的路径。
5,接着想到网页上找找思路
想到刚刚那么多@人名,那么每个人名是不是对应的思路呢?
两种路径都试了一遍,发现都失败,整个下面的人名都试了一遍,全都失败
5.这时候看到网页大大的keep calm,给了我希望
然后就试了一下:![在这里插入图片描述](https://img-blog.csdnimg.cn/20200828172317212.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9
接着试:
终于成功。
6.接下来可以试试使用那些刚刚试过的用户名做成一个字典,常用的密码做成字典进行暴破,但是暴破总是很废时间,不到万不得已不做暴破。
想到再用dirb跑一跑192.168.154.158/fristi下的目录:
发现有个上传,发现不行
7.想到去这个登陆界面的网页源码去看看
下图说道“我们base64编码的这张登陆图片”
发现一段base64编码
所以要把这段编码解码,看看到底是什么图片
9.
然后解码这段base64
查看解出来的图片
这个就是密码的图片,那么用户名是啥呢?
其实就在源码中 这里说了by eezeepz,那么有理由怀疑这个就是用户名。
登陆成功:
10.发现有个上传,于是上传一个文件。
先尝试直接上传php抓包,在抓到的包里改变成png格式
发现上传成功,并且告诉我们路径为 /uploads
掏刀
发现失败。因为它不能被识别成PHP代码
11.再换一种上传方式 ,先上传带一句话木马的图片png格式,再在中途抓包改成php
结果被拦截,以为只能上传图片格式的文件
12.将改成这样的文件上传
上传成功
菜刀连接:
成功连接,说明服务器有文件解析漏洞
本来的想法是打开模拟终端,在终端里边写入反弹shell的命令,将shell反弹到kali中去,后来发现模拟中段里边不能写入东西,于是将php脚本通过上传传到服务器去。
改成即可
上传成功之后开启kali的6969端口监听,然后访问这个文件的路径
http://192.168.154.158/fristi/uploads/reverse_shell.php.png
发现:
连接了一下就断了,原因是这个路径只是访问了一下这个脚本,并没有持久的执行,要需要持久的执行的话,是不能在url里通过访问去执行的,必须执行这个脚本,如下图:
这下就能连接上了:
然后开始把这个shell变成一个交互式:
然后脏牛提权