Puokr靶场

昨天玩了一个靶场,感觉很贴近实战,它也确实是根据实际案例来复现的,感觉复盘者很用心的模拟了企业中的真实事件和真实环境。

传送门:https://www.anquanke.com/post/id/93406

遗憾的是卡在某一步了,暂时想不到突破点,先写一写这个故事好了。如果你还没玩这个靶场,不妨自己先试一试,真的非常推荐。

题解

首页长这样

拿到首页发现没有什么东西可以交互,只有一个按了五次会调戏你的按钮,于是右键看一下HTML源码

首先一处很在意的地方是注释,里面泄露了一个AccountID,按照这个ID去Google,出来的是一个Github页面,看了下这个页面其实是原本一个“中午吃什么”的页面修改而来,这里不是重点

下面有两个js文件,跟进一下,点进去发现了作者信息

在Github成功找到了一个对应用户,也拿到了源码。另外插一句,网站根目录下有个README.md文件,没有什么具体信息,但是和Github里面的文件是对应的,再次印证了这个Github用户是网站作者

重点在于Github用户的另一个代码仓库,其中有一个nodejs的发送邮件的程序

有意识的同学立刻就能想到,发送邮件的程序会泄露用户的邮件账号密码,尤其是这边还有一个测试程序。在提交记录翻一翻

Get!

登上腾讯企业邮箱,发现这是员工的工作邮箱账号,而且里面的内容也非常有料,慢慢挖

果不其然发现了一个ITunes的邮件,通知说上架的APP存在一些信息需要处理,非常奇怪的是这个邮件下面留的链接是指向http://39.108.218.120:9001/的,而其他的链接指向苹果官网。于是我断定,这是一封钓鱼邮件,遂对39站点进行进一步渗透

扫到备份文件,打开后审计源码发现他会将所有提交的数据存到/data/password.txt中,由于这封钓鱼邮件被员工转发给了几乎全体同事,我们拿到password数据后查看一下企业邮箱,然后就发现了chenguanxi同学的密码

登上以后发现了新的站点

而且看到了另一封邮件

止步于此,我想这是一个提示,新站是用express写的,不是很常见(我会JavaScript有偏见),都对新站测试了MongoDB的未授权访问,无果,测试了express的反序列化,无果

有新的想法再试试