环境搭建可以看这一片文章,这个AWD平台里面包含了挺多CMS模块的,还是够玩一阵子了
web_yunnan_simple :
因为是初次接触AWD,所以从0开始记录:
首先给我环境:
http://8.131.51.70:8080/flag_file.php?token=team1&flag=cc192e8633951564cb8f77c0a30b32a8 //提交FLAG的方式
http:///8.131.51.70:8801 --team1
http:///8.131.51.70:8802 --team2
每个两分钟会有check,并刷新flag
那么这里我们将作为team1,去攻击无人防守的team2
黑盒测试:
footer.php:
首先进入team2的目标端口,在页面底端发现:
居然还给出了hint,很明显一个命令执行:cat /flag
拿到第一个flag,同时也可以看到,命令执行的地方是footer.php:
我们这里直接进入flag提交页面即可,也可以直接写个脚本跑一下:
http://8.131.51.70:8080/flag_file.php?token=team1&flag=cc192e8633951564cb8f77c0a30b32a8
这里只是一个脚本参数,后面会给大家写出批量打的脚本的
那么如果在第二轮进攻的时候,如果防守方还没有修补好这个漏洞,那么我们可以利用这个漏洞再次得分.
再次获取check之后的flag:
再次提交相同漏洞由于防守方失误刷到的分
about.php
然后继续随便点击一下页面:发现一个很明显的文件包含漏洞:
直接getflag即可:
其次发现一个登录口,怀疑存在SQL注入,但是无法攻克
黑盒测试到此结束:
白盒测试:
直接将源代码拷贝到本地,放到seay代码审计中去:
发现存在如下漏洞:
about.php存在文件包含–已利用
config.php存在后门文件–未利用
config.php存在后门文件:
直接用后门搞即可:提出一个待解决的思考,如果我这里用后门直接连接 然后种下我的木马,不就可以权限维持了吗?
这里我直接传入?c=cat /flag 发现没有回显,于是查看了一下源代码,发现是我傻了,这里确实没有highlight_file这个函数啊,也没有echo,自然不能回显,所以我选择用蚁剑进行连接:
contact.php存在任意文件包含:
同样蚁剑连接然后终端进行命令执行即可
inde.php存在后门:
蚁剑直接连接即可:
admin/footer.php存在后门:
login.php:
首先你一定要知道,在php里面{}作用是表示里面是完整的变量,阅读源码:
$query = "SELECT * FROM admin WHERE user_name='{$user}' and user_pass='{$pass}' ";
$data = mysqli_query($dbc,$query);
很明显没有对输入的参数进行严格把控:
playload: abcd ' or 1=1 #
登陆成功 拿到flag
upload.php:
存在任意文件上传:
蚁剑直接连接或者直接回显即可:
那么这里我们试一下 如果将team1的footer.php删掉会怎么样:
过了一段时间,发现依然没有掉分…有点奇怪,过段时间再来看看这个地方