banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

pte-实战 机智卡片系统

这也是一道实战题,打开网站页面是一个认证页面,告诉我们用户名为 admin,那么需要爆破密码。

image

抓包发现是 Authorization 认证

image

将数据包发送至 intruder,设置遍历节点

image

上述遍历点为 base64 编码,解码后为 admin:123,所以我们设置 payload 也需要设置和其一致的格式。

image

设置 payload type:Custom iterator

image

第一个值为用户名 admin

image

第二个为冒号

image

第三个加载字典文件

image

添加 payload processing,对上述内容(admin:123)进行 base64

image

设置完成后,就可以开始爆破了,成功获取到结果。

image

获取到用户名密码 admin

image

用户名密码登录后有个 key

image

尝试弱口令登录,弱口令登录无果,访问下 robots.txt 看看,发现个 sql 文件

image

尝试访问 sql 文件,发现个存在 admin 用户的帐号密码,密码 md5 加密了

image

对 md5 破解,找到个密码 qwerty

image

尝试目录遍历,看是否有其他目录,用御剑扫描,扫描到 phpmyadmin 但是显示 401

image

由于没有 auth 认证的缘故。鉴于此,那么只能用带着 auth 认证爆破目录

image

没有爆破到有用的东西

image

通过 md5 爆破的密码登录,成功登录,后台界面如下:

image

后台存在上传图片的功能,尝试文件上传

直接上传 php 文件上传失败

image

将 content-type 改成 image/jpeg 格式,文件上传成功。

image

回到后台页面,复制连接。

image

webshell 链接为http://10.1.10.71/uploadfile/16899143312s.php,连接 webshell,添加 http 头,base64 认证。

image

编码 base64 编码。

image

成功连接 webshell。

image

执行命令,system 权限。

image

添加帐号

image

开启 3389,直接用系统自带的工具开启

image

自己创建的账户无法获取到 key,得修改管理员的密码

image

key 放在回收站,还原即可

image

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。