第五章、进击！拿到Web最高权限

第五章 进击！拿到Web最高权限

0x01. 明确目标

靶场地址

https://hack.zkaq.cn/battle/target?id=a82434ce969f8d43

兄弟们 , 这次我们要拿webshell啦 , 激动不激动 , 嘿嘿 , 这关的思路已经在tips中写的很清楚啦 , 我就不复述了

真的是靶场tql , 自己干自己 , 点击传送门进入靶场

0x02. 修改cookie

http://59.63.200.79:8005/admin/Login.asp

修改cookie的方法 , 我想各位师傅也有很多吧 , 这里我借鉴wp中的方法 , 非常简单不需要任何工具

右键检查 , 点击Application , 然后是Cookies , 选中当前站点

通过和打到的cookie进行对比 , 发现哪个才是admin的cookie

cookie : ASPSESSIONIDSQATTCBS=GNIAMLACOIIKIBEDKCJAILDH; flag=zkz{xsser-g00d},ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNPFINOANFGLPCFBC

应该是这个

ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNPFINOANFGLPCFBC

然后将ADMINSESSIONIDCSTRCSDQ添加到name下 , LBMLMBCCNPFINOANFGLPCFBC添加到value下

添加完成后 , 点击页面的准备好了吗? 进入后台

0x03. getshell拿flag

既然是一个asp的站点 , 那么我们想办法通过文件上传 , 上传一个asp的一句话木马 , 然后用caidao链接

getshell方式很多 , 但是我觉得直接传就方便 , 一般在产品管理中可以上传文件

选择文件上传

发现不能直接上传asp文件

但是印入我眼帘的有一个cer文件类型 , 我清晰的记得 IIS6.0有一个解析漏洞就是cer文件会按照脚本解析

这是我赶紧打开了浏览器旁边的插件

不好意思 , 还真是 , 靶场往往没有那么难为人 , 哈哈哈哈哈哈哈哈哈 于是将文件后缀名修改一下进行上传

刚夸过靶机 , 靶机就开始难为我 , 选择一句话木马.cer文件 , 不能上传成功

没办法只能绕啦 , 我们先把木马文件的后缀名改为.jpg上传 , 然后再修改为.cer

发现访问并不存在 , 应该是在产品图片哪里应该是无用的 , 后台文件名并没有修改 。

这下可难道我了?我突然想起老师之前说的一句话 , 图片马能过所有的上传文件 , 但是要配合解析漏洞

嘿嘿 , IIS6.0不就有吗 , 这里我先把后缀名改为.cer测试

ok , 上传成功 , 路径 :

UploadFiles/2021228223635537.cer

caidao链接

然后就是翻目录找flag.txt啦 , 这一点和tips里面提供的不符合 , 害的我好找

zkz{G3t_the_admin!Sh3ll}