渗透测试入门 —— 真的很简单

1.本题是渗透测试入门的一道基础题,虽然美其名曰“真的很简单”,但对于新手还是有一定挑战性的,实践并掌握本题中的所有知识点,对渗透测试的基本理解有很大帮助。

此题的目标是对一个基于织梦 CMS 的网站进行渗透测试,找到网站登录后台,继而入侵服务器找到存放 flag 的文件。从实验手册上,可看出其中还会涉及到简单的提权过程。

题目链接:https://www.ichunqiu.com/battalion?t=2&r=54399
解题链接:https://www.ichunqiu.com/vm/51123/1

渗透测试入门 —— 真的很简单_第1张图片


本次实验要求获取目标网站的FLAG信息。

渗透测试入门 —— 真的很简单_第2张图片


2.网站管理员的密码是多少?
第 1 题相对简单,在实验环境内根据提示打开下载链接 http://file.ichunqiu.com/49ba59ab,接着下载爆破工具 dedecms.exe:

渗透测试入门 —— 真的很简单_第3张图片


打开工具,输入目标 URL,一键爆破得到管理员的账号 ichunqiu 与密码哈希值 adab29e084ff095ce3eb:

渗透测试入门 —— 真的很简单_第4张图片


对md5加密的密码进行解密

渗透测试入门 —— 真的很简单_第5张图片


成功得到明文

渗透测试入门 —— 真的很简单_第6张图片


3.网站后台目录名是什么?
第 2 题上来先尝试织梦 CMS 的默认后台路径 /dede/index.php 或 /dede/login.php,得到 404 的结果也是意料之中,即现在的问题是要找出修改后的后台目录名。
打开实验工具箱,发现【目录扫描】文件夹,以【御剑后台扫描工具】为例,对目标 URL 扫描后得到如下结果:

渗透测试入门 —— 真的很简单_第7张图片


并未发现后台地址
注意,为了保证扫描效率,一般后台扫描工具都是采用字典扫描,而不是暴力穷举,因此不同扫描器得到的结果不完全相同,尽可能使用多种扫描器,偏僻怪异的名字可能扫描不出来。
笔者采用了多种扫描器,并对其可能的结果进行验证,都一无所获,即可判断此后台目录名具有较强的个性或随机性。
所以要转换思路,看看织梦 CMS 是否存在后台地址信息泄露的漏洞。果不其然,发现从报错文件 /data/mysql_error_trace.inc 或 /data/mysqli_error_trace.inc 中,可得到泄露的后台路径。
最后在 /data/mysqli_error_trace.inc 中获得后台目录名为 lichunqiul:

渗透测试入门 —— 真的很简单_第8张图片


对其进行验证,终于看到了后台登录页面:

渗透测试入门 —— 真的很简单_第9张图片


4.管理员桌面中 flag 文件信息是?
用账号 ichunqiu 与密码 only_system 登录后台后,根据实验手册,要想办法利用中国菜刀连接服务器,获得 webshell,进而查看 flag 文件中的信息。
获取 webshell
首先我们需要在服务器插入一句话木马,然后才能用菜刀连接,获得 webshell。
直接修改模板 PHP 源码
依次点击 模板 -> 标签源码管理,以编辑第一个模板 adminname.lib.php 为例:

 


在模板中写入一句话

渗透测试入门 —— 真的很简单_第10张图片


使用中国菜刀连接

渗透测试入门 —— 真的很简单_第11张图片


成功拿到shell

渗透测试入门 —— 真的很简单_第12张图片


先切换至管理员桌面

渗透测试入门 —— 真的很简单_第13张图片


可以看到存在一个flag文件,使用type命令尝试看下


发现提示没有权限
用 cacls 命令查看 flag 文件的访问控制列表(ACL),后用 whoami 命令查看用户名,发现 authority\system 用户对于 flag 文件的权限是 N,即无权限


使用whoami发现我们的权限是system,这是最高权限啊,用 cacls 命令更改了访问权限后,authority\system 用户对于 flag 文件的权限变成了 F


成功拿到flag

渗透测试入门 —— 真的很简单_第14张图片

你可能感兴趣的:(渗透测试学习)