TEST LAB V8在线渗透实验室
Test lab是1个与Offensive Security的试验室相近的免费在线渗透测试虚拟实验室。这一试验自然环境中包括13个系统软件,各自有各式各样的系统漏洞和配备不正确。在每一系统软件上常有1个token,人们必须寻找它并将其发送,用以认证攻克该系统软件。
最先,你必须这里申请注册,申请注册以后你能在那里获得你的VPN配置文件和动态口令。在刚开始以前,人们提议你应用Kali Linux,由于采用的全部专用工具那上边常有,试验室出示了1个网络拓扑图,这有利于你剖析总体目标。
如同在上边的网络拓扑图中见到的,有2个网关ip 192.168.101.6和192.168.101.7。根据第一位网关ip,只有浏览3个系统软件,他们是site、cabinet和ssh-dev。根据下一个网关ip,可以浏览其他剩余的设备。在这篇的首位一部分,人们将占领2个系统软件网址和cabinet,其他设备人们会再下部分攻克。
因此,人们此次的关键总体目标是网址和cabinet,她们可以根据192.168.101.6浏览。我们一起刚开始攻坚吧。
进攻SITE
从运用nmap扫描仪刚开始,指令为:
nmap -sS -sV -Pn -p1-65535 192.168.101.6
在上边的輸出中人们发觉了2个对外开放端口号,90和443。用电脑浏览器浏览iP和90端口号,显示信息是1个SAS金融机构程序流程,有个登陆作用。
人们预览这一手机应用程序,查询它的源码找寻某些案件线索,可是全都没发觉。运作dirb专用工具枚举文件目录,指令为:
dirb .com://192.168.101.6/ /usr/share/wordlists/dirb/common.txt/ -v
在专用工具运作完以后,人们留意到每1个恳求的没有响应码全是403,这代表严禁浏览。当你试着开启一切1个手机应用程序中找不到的网页页面时,它会回到1个403没有响应码。
这表明服务器防火墙入侵了人们的恳求。如今对于dirb专用工具稍加调节,提升1个-a主要参数,这主要参数容许人们特定1个不一样的user agent。在这一事例中,人们提升了lceweasel电脑浏览器的user agent,指令为:
dirb .com://192.168.101.6/usr/share/wordlists/dirb/common.txt/ -v -a “Mozilla/4.0 (X11; Linux x86_32; rv:38.0) Gecko/20100101 Firefox/38.0 Iceweasel/38.5.0”
如今人们见到結果不一样了,人们获得了403和150没有响应。运用打开浏览器.htaccess文档,沒有发觉很感兴趣的物品,紧接着开启.git/HEAD文档,.git文件目录可以浏览,这表明其他的配置文件还可以浏览,而且可以免费下载出来。有个名叫DVCS Ripper的专用工具,它可以从网址上免费下载全部的.git库房,前提条件是.git文件目录可以浏览。
人们应用下边的指令实行该专用工具:
./rip-set.pl -u .com://192.168.101.6/.git/ -o /root/Desktop/app
在专用工具实行后,全部的编码都储存在了我的app文件夹名称中。
人们预览手机应用程序全部源码,从DatabaseSeeder.Python中寻找2个登陆凭据, 该文档坐落于app/database/seeds文件目录中。
人们试着应用获得的客户动态口令登陆,登陆后发觉了第一位token。
进攻CABINET
这一系统软件一样可以根据同样的网关ip192.168.101.6浏览,运用443端口号,而且有个登陆作用。
人们再次运作dirb专用工具找寻掩藏的文件目录和文档,指令给出:
dirb htpp://192.168.101.6/ /usr/share/wordlists/dirb/common.txt/ -a “Mozilla/4.0 (X11; Linux x86_32; rv:38.0) Gecko/20100101 Firefox/38.0 Iceweasel/38.5.0”
正如圖见到的,人们找到接口文档文件目录,试着开启这一文件目录,它回到1个不正确“You can use GXG /接口文档/auth or /接口文档/balance”。
人们根据打开浏览器接口文档/auth文件目录,一样地,它抛出去1个不正确,必须填好email和password。
人们在恳求时提升2个应用自然数填好的主要参数,随后浏览网页地址。
可以看,它显示信息email失效,这表明恳求是可以的,如今人们必须寻找合理的email Id。
因此人们转至下个文件目录接口文档/balance,浏览以后,它一样回到了不正确,必须填好接口文档 session token和Id。
人们提升了2个务必的主要参数,用自然数赋值,随后浏览网页地址,它又回到1个信息,接口文档 session token的值务必是50字符。
人们提升了1个50字符的主要参数以后再度恳求。手机应用程序回到了1个null值。这代表起作用了。
我们一起试着下SQL引入,给token主要参数的值赋1个纯手工制作的50字符长的SQL引入句子,随后再度上传恳求。
SQL引入取得成功了,回到了全部的emails,在念完全部的email以后,人们挑选了RalWestfall的email,由于它包括了sas-bank.lab网站域名。
如今人们返回必须1个合理email的/接口文档/auth网页页面,人们根据email主要参数递交了获得的email,如今它回到了1个不一样的不正确信息,password或email不正确。
在这一事例中,人们150%明确email是合理的,由于假如人们出示1个任意的email,它会显示信息“挑选的email失效”的信息内容。如今人们必须登陆密码,可以应用BurpSuite proxy来爆力猜解password主要参数。
人们应用fuzzdb的密码表作为登陆密码目录,给出如图。
实行intruder过段时间后,人们发觉了登陆密码是“freeman”。
试着应用Ralph Westfall的登陆密码和猜解出的密码登录,取得成功了。
在登陆以后,人们预览全部的运用作用,发觉了1个发送材料照片的作用。
试着发送1个Python侧门,它回到了1个不正确,只?市砩洗计?
之后,人们查询手机应用程序的源码,发觉材料图片上传的部位坐落于uploads文件目录下。
人们预览upload文件夹名称,试着浏览Python shell文档,尽管手机应用程序抛出去了不正确可是文档还要那里。
如今人们拥有1个shell访问限制,预览全部的root文件目录,人们在/var/WWW/文件夹名称中找到token.txt文档。
人们开启了text文档,找到token。
在下一个一部分,人们将攻击其他的设备。
参照连接
htpp://lab.pentestit.ru/pentestlabs/4
htpp://github.Com/fuzzdb-project/fuzzdb
相关文章
- 1条评论
- 辞眸诤友2022-05-27 22:34:57
- rb/common.txt/ -v 在专用工具运作完以后,人们留意到每1个恳求的没有响应码全是403,这代表严禁浏览。当你试着开启一切1个手机应用程序中找不到的网页页面时,它会回到1个403没有响应码。 这表明服务器防火墙入侵了人们的恳求