其他分享
首页 > 其他分享> > Vulnhub 靶场 MOMENTUM: 2

Vulnhub 靶场 MOMENTUM: 2

作者:互联网

前期准备:

靶机地址:https://www.vulnhub.com/entry/momentum-2,702/

kali攻击机ip:192.168.11.129
靶机ip:192.168.11.140

一、信息收集

1.使用nmap对目标靶机进行扫描

image

发现开放了22和80端口。

2. 80 端口

image

没什么发现,扫一下目录:

image

挨个查看一下:

在 /dashboard.html 中发现了上传文件的地方:

image

在 js 中发现了对应的 js代码:

image

尝试上传一下 shell:

image

image

试过很多种绕过方法,发现就上床了 txt 文件,在 /owls 目录:

image

从 /js/main.js 中判断上传的文件会发送到 /ajax.php 中,查看下能不能访问这个文件:

image

/ajax.php 文件没有,不过有 /ajax.php.bak 备份文件,下载下来查看一下:

image

二、漏洞利用

发现了 admin 的 cookie,提示要在cookie末尾加一个大写字母,并且发送一个新的 POST 参数 secure ,其值为 val1d 。爆破一下 cookie 的最后一个大写字母,并且添加上新的 POST 请求:

image

用 crunch 命令生成26个大写字母:

image

爆破一下:

image

image

发现 R 的时候返回 1,代表上传成功了:

image

上传成功,访问一下并 nc 监听:

image

连接成功,升级一下shell。查看一下系统内的文件:

image

在 /home/athena 目录下发现 flag,和 athena 的密码(myvulnerableapp*)。ssh 登录一下:

image

登陆成功。

三、提权

查看下权限和文件:

image

查看一下 /home/team-tasks/cookie-gen.py

image

image

发现python 脚本要求输入。但是输入也在回显。为了回显输出,脚本会执行 bash 命令。所以,可以再输入里写入 shell,让 bash 执行:

image

nc 连接成功,查看 flag:

image

完成。

标签:文件,查看,一下,js,cookie,Vulnhub,靶场,上传,MOMENTUM
来源: https://www.cnblogs.com/sainet/p/15780092.html