打靶筆記-06-vulnhub-N7

一、靶機信息

Name: Web Machine: (N7)（中等難度）
Date release: 3 Nov 2021
Author: Duty Mastr
Series: Web Machine

Web-Machine-N7.ova (Size: 5.7 GB)
Download (Mirror): https://download.vulnhub.com/webmachine/Web-Machine-N7.ova
SHA1: 67E4452646B3F3B3FC518A900FD0363DFE55F6F4

二、啟動靶機

2.1 哈希校驗

校驗通過

2.2 導入Vbox，配置網絡

橋接到vmnet8，這個靶機居然要了8G內存，我給縮減了一半

2.3 打快照，啟動靶機

這靶機居然是kali帶界面部署的，也不知道怎么樣。

三、開始滲透

3.1 主機發現

ifconfig
sudo arp-scan -I eth0 -l

目標機器IP：172.16.95.142

3.2 端口服務發現

sudo nmap -p- 172.16.95.142
sudo nmap -p80 -sV -sT -Pn -sC 172.16.95.142

發現沒有頁面標題的網頁搭建在Debian上的Apache 2.4.46，只好去訪問以下了。

3.3 訪問80端口

這個主頁只發現了個 /profile.php 的頁面，好像也沒啥用，目錄掃描

3.4 目錄掃描

dirsearch -u http://172.16.95.142/

沒發現什么，應該是字典不太行，換個字典再來一遍

dirsearch --random-agent -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://172.16.95.142/ -e php,html

好家伙，這么大字典都沒結果，換個工具dirbuster

dirbuster

發現個新的頁面 /exploit.html ，先訪問一下，發現是個上傳頁面

3.5 文件上傳

嘗試上傳

發現點擊提交后會自動跳轉localhost，這，查看頁面源代碼，發現是form表單的action屬性寫死了，修改成目標機器的地址，再次提交。

提交成功后，發現頁面顯示了部分FLAG

3.6 Burp抓包

這兒還出現了個小bug，困擾好長一段時間，Burp攔截不到包，后來換到了win10上的專業版本Burp，然后攔截正常了

3.6 思考

然后就沒思路了，=-=，最后本着就是學習，不死磕浪費時間的目的，(其實已經浪費了不少時間),上網尋求其他大佬的筆記，很多人沒思路，不知道哪位老哥掃到的一個目錄enter_network，還有兩個文件index.php和admin.php。
這，還是字典不夠強大.....，我有點懷疑這是哪位老哥直接到靶機里看的目錄，不過自己就不掃了，繼續吧。

3.7 訪問/enter_network/index.php

1. 發現是個登陸頁面
   
2. 直接點提交抓了一下包
   
3. 緊接着弱口令嘗試了一下，抓包
   
4. 再次刷新准備嘗試其他弱口令時，發現已經帶上了cookie
   
5. 攔截響應包，看服務器端是否進行了cookie設置
   
   
   果然，服務器端進行了cookie設置，分別是用戶名和角色名。按照常理，應該是登陸成功才設置，這里顯然沒有成功，算一個漏洞吧（這靶機打的我懷疑人生，我自己開始編劇情了=-=）。
6. 解密role的值
   一眼看過去，cookie中的user和role的值不是正常值，要么經過編碼，要么經過加密，
   結合請求頭中的Content-Type: application/x-www-form-urlencoded，可以知道是進行了URL編碼，不過這個有個特點，空格會替換為+，會對特殊字符進行一個ASCII HEX值的替換，比如：=會替換為相應的ASCII HEX值%3D，%會替換為%25，所以最終下來=會變成%253D。
   所以將cookie中的role的值中的%253D替換為=后，發現有點像Base64
   
   解密后，發現有點像md5，再去解密
   
   最終role的值為admin
   

3.8 訪問/enter_network/admin.php

1. 提示只有admin的角色才可以訪問這個接口
   
2. 嘗試將cookie中的role改為admin
   
3. 成功拿到另一個殘缺的flag
   
   然后線索就又斷了，鬼知道這兩個Flag中間又沒有其他內容

四、總結

最后總結了其他老哥打的筆記，都打的稀里糊塗，也有直接將/enter_network/index.php頁面直接丟sqlmap進行sql注入成功的，然后從數據庫拿到了這個Flag，但那個admin.php豈不是多次一舉。
最后吐槽幾點：
1. 整體感覺這個靶機雲里霧里，如果非要自己湊劇情，那就是CSRF，但這個邏輯也設計不太合理，大概還是我太菜吧。
2. 還有就是最關鍵的一點，如果字典不夠強，后面這個目錄沒掃出來，后面這些湊劇情的步驟根本不會有
3. 總結了一圈之后，結合靶機內存開始搞了個8G，我感覺作者有點開玩笑=-=

4.1 猜測一下思路應該是：

1. 首先通過上傳頁面發現一半FLAG，然后還有提示CSRF，如下
   
2. 然后關鍵的，目錄掃描發現，enter_network
3. 通過sql注入萬能密碼登陸成功，獲取cookie，並解密，不過這里好像沒登陸成功就給了cookie。
4. 訪問admin.php利用CSRF獲得另一般cookie

最后我編不下去了=-=