红日靶场第一关 att&&ck

之前因为事情耽搁了，今天争取把第一关红日靶场完成

目前找到了关于外网服务器的网址

之前有过扫描目录得知了登陆界面

和爆破得到的密码

目前我们的想法是把病毒上传到网页当中，所以我们应该找个文件注入点

但是再次之前 我们需要找到网页的绝对路径

我们通过输入 

select @@basedir 可以可以看到网站的根目录

结果如上图 被安全防御系统拦截了

说明这里不能写入shell，我们可能需要其他的办法

让我们查看一下安全文件夹里面的内容，发现啥也么有

现在我们进入日志文件里面 ，希望能向日志文件里面写入shell

让我们将日志文件打开

输入命令 on

将日志系统代开 这样我们就可以进行日志的查询了

我们现在在指定的www根目录下

让我们在1.php中写入一句话木马

这下我们可以重新用蚁剑来连一下试试

链接成功

通过下在到扫描的文件使我们找到了 另一个备用网站 我们去看一眼

我们得到了此网页

发现这有账户密码，登陆试试

发现后门的地址

进入了后台地址

我们在这里发现前台的文件能够可以上传php文件

我们可以写入一个木马文件

写入一句话木马

然后我们可以通过之前下载的rar文件确定写入的木马所在的位置

一句话木马链接成功

发现有xss漏洞  但不知道有扫描用

根据后台发现了有xss页面弹出

接下来就是内网信息收集了