Vulnhub 靶场 MOMENTUM: 2
作者:互联网
前期准备:
靶机地址:https://www.vulnhub.com/entry/momentum-2,702/
kali攻击机ip:192.168.11.129
靶机ip:192.168.11.140
一、信息收集
1.使用nmap对目标靶机进行扫描
发现开放了22和80端口。
2. 80 端口
没什么发现,扫一下目录:
挨个查看一下:
在 /dashboard.html 中发现了上传文件的地方:
在 js 中发现了对应的 js代码:
尝试上传一下 shell:
试过很多种绕过方法,发现就上床了 txt 文件,在 /owls 目录:
从 /js/main.js 中判断上传的文件会发送到 /ajax.php 中,查看下能不能访问这个文件:
/ajax.php 文件没有,不过有 /ajax.php.bak 备份文件,下载下来查看一下:
二、漏洞利用
发现了 admin 的 cookie,提示要在cookie末尾加一个大写字母,并且发送一个新的 POST 参数 secure ,其值为 val1d 。爆破一下 cookie 的最后一个大写字母,并且添加上新的 POST 请求:
用 crunch 命令生成26个大写字母:
爆破一下:
发现 R 的时候返回 1,代表上传成功了:
上传成功,访问一下并 nc 监听:
连接成功,升级一下shell。查看一下系统内的文件:
在 /home/athena 目录下发现 flag,和 athena 的密码(myvulnerableapp*)。ssh 登录一下:
登陆成功。
三、提权
查看下权限和文件:
查看一下 /home/team-tasks/cookie-gen.py
发现python 脚本要求输入。但是输入也在回显。为了回显输出,脚本会执行 bash 命令。所以,可以再输入里写入 shell,让 bash 执行:
nc 连接成功,查看 flag:
完成。
标签:文件,查看,一下,js,cookie,Vulnhub,靶场,上传,MOMENTUM 来源: https://www.cnblogs.com/sainet/p/15780092.html