第五章 进击!拿到Web最高权限
0x01. 明确目标
靶场地址
https://hack.zkaq.cn/battle/target?id=a82434ce969f8d43
兄弟们 , 这次我们要拿webshell啦 , 激动不激动 , 嘿嘿 , 这关的思路已经在tips中写的很清楚啦 , 我就不复述了
真的是靶场tql , 自己干自己 , 点击传送门进入靶场
0x02. 修改cookie
http://59.63.200.79:8005/admin/Login.asp
修改cookie的方法 , 我想各位师傅也有很多吧 , 这里我借鉴wp中的方法 , 非常简单不需要任何工具
右键检查 , 点击Application , 然后是Cookies , 选中当前站点
通过和打到的cookie进行对比 , 发现哪个才是admin的cookie
cookie : ASPSESSIONIDSQATTCBS=GNIAMLACOIIKIBEDKCJAILDH; flag=zkz{xsser-g00d},ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNPFINOANFGLPCFBC
应该是这个
ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNPFINOANFGLPCFBC
然后将ADMINSESSIONIDCSTRCSDQ添加到name下 , LBMLMBCCNPFINOANFGLPCFBC添加到value下
添加完成后 , 点击页面的准备好了吗? 进入后台
0x03. getshell拿flag
既然是一个asp的站点 , 那么我们想办法通过文件上传 , 上传一个asp的一句话木马 , 然后用caidao链接
getshell方式很多 , 但是我觉得直接传就方便 , 一般在产品管理中可以上传文件
选择文件上传
发现不能直接上传asp文件
但是印入我眼帘的有一个cer文件类型 , 我清晰的记得 IIS6.0有一个解析漏洞就是cer文件会按照脚本解析
这是我赶紧打开了浏览器旁边的插件
不好意思 , 还真是 , 靶场往往没有那么难为人 , 哈哈哈哈哈哈哈哈哈 于是将文件后缀名修改一下进行上传
刚夸过靶机 , 靶机就开始难为我 , 选择一句话木马.cer文件 , 不能上传成功
没办法只能绕啦 , 我们先把木马文件的后缀名改为.jpg上传 , 然后再修改为.cer
发现访问并不存在 , 应该是在产品图片哪里应该是无用的 , 后台文件名并没有修改 。
这下可难道我了?我突然想起老师之前说的一句话 , 图片马能过所有的上传文件 , 但是要配合解析漏洞
嘿嘿 , IIS6.0不就有吗 , 这里我先把后缀名改为.cer测试
ok , 上传成功 , 路径 :
UploadFiles/2021228223635537.cer
caidao链接
然后就是翻目录找flag.txt啦 , 这一点和tips里面提供的不符合 , 害的我好找
zkz{G3t_the_admin!Sh3ll}