Vulnhub-Y0usef
Bypass403+文件上传
下载地址:https://download.vulnhub.com/y0usef/y0usef.ova
目标:获取2个flag
该靶场只能通过Vbox打开 vm不管尝试什么方法 解压ova为ovf和vmdk,修改hash,修改mf文件等等方法,都提示磁盘启动有问题
注意,下载VBox的时候(我下的是7.1版本,在打开虚拟机的时,会报错)
D:\VirtualBox\drivers\vboxsup 需在这个目录下,安装inf程序,然后重启
开启靶机和kali
(kali配置双网卡,一张桥接模式,一张NAT)
桥接模式的网卡为
靶机配置桥接模式
Kali和靶机在同一网段的是 192.168.204.0/24
Namp扫描 192.168.204.0/24网段
192.168.204.81为靶机ip
靶机开放22和80端口
访问web网站
使用Dirsearch 惯例目录爆破一番(搜集思路:nmap扫开放端口,dirsearch爆破目录)
http://192.168.204.81/adminstration/
提示没有权限(针对administration子目录,可以再次爆破)
http://192.168.204.81/adminstration/include/
http://192.168.204.81/adminstration/logout/
http://192.168.204.81/adminstration/upload/
http://192.168.204.81/adminstration/users/
有几个404页面 存在403 bypass绕过
有返回403的路径也没有任何提示。但是这里面有一个路径被重定向到了登陆界面,这里需要访问登陆界面,就需要进行403界面的绕过。
403状态码表示用户没有权限访问的界面,也就是用户需要进行身份认证,认证完成以后才能进行访问,针对403bypass有以下几种方式
1、通过旁站实现(针对过滤机制为外来主句机头):用户需要使用该网站旁站的主机头对目标进行访问,绕过机制就是让服务器误认为请求来自与同一台主机的其他站点,而不是外来的访问请求。
2、覆盖URL(针对过滤机制为过滤url中的地址):示例如下:
原始数据包中部分信息:GET /auth/login HTTP/1.1
修改以后数据包信息:GET / HTTP/1.1
X-Original-url: /auth/login
针对过滤GET后面的字段内容,将敏感路径以其他内容放在数据包中
3、Referer(基于服务器通过referer头判断用户权限):referer头中的内容表示用户在访问该页面前所处在的页面,将这个字段里面的内容修该成为一个403界面的地址,服务器就会误认为我们已经有了访问403界面的权限,就可以进行访问敏感目录了
4、HOST头部:数据包中会有X开头的字段,表示用户在访问服务器过程中所经过的反向代理服务器的记录,现在web服务器是在层层代理之后,添加X开头的头部信息为127.0.0.1使服务器误以为访问请求来自于自己某个代理服务器,为本地访问,从而绕过过滤(X-Forwarded-For:127.0.0.1)
添加xff头
是一个登录页面
弱口令
admin
admin
登录成功
有一个上传点,尝试上传shell上传一句话木马(cmd.php),记得带上XFF头,修改content-type类型为jpg
上传成功
使用蚁剑连接
在home目录下,有个user文件
八成是base64加密
这应该是ssh账户密码
看看有没有root权限
Sudo提权
该账户有sudo权限
su root //输入yousef123
接入root目录下,查找可疑文件
root@yousef-VirtualBox:~# cat root.txt
root@yousef-VirtualBox:~# cat root.txt
WW91J3ZlIGdvdCB0aGUgcm9vdCBDb25ncmF0dWxhdGlvbnMgYW55IGZlZWRiYWNrIGNvbnRlbnQgbWUgdHdpdHRlciBAeTB1c2VmXzEx
Base64解码得到
参考解题:
https://blog.csdn.net/2301_80386983/article/details/142878006
浙公网安备 33010602011771号