靶机渗透测试（IMF）：

Vulnhub靶机 IMF
靶机：修改靶机的网络配置为桥接模式。
攻击机：Kali虚拟机，同样使用桥接模式，即可访问靶机。
靶机难度：（Beginner/Moderate）
目标：IMF is a intelligence agency that you must hack to get all flags and ultimately root. The flags start off easy and get harder as you progress. Each flag contains a hint to the next flag.

在这里插入图片描述

渗透流程：

1. 探测靶机ip地址（netdiscover -i eth0 -r 网关）

靶机ip：192.168.10.29

在这里插入图片描述

2. nmap进行靶机端口服务扫描

命令： nmap -sS -Pn -A -p- -n 192.168.10.29
可以看到靶机只开放了80端口-http服务；

在这里插入图片描述

3. 根据端口服务进行渗透（80-http端口服务）

在这里插入图片描述

3.1 查看网页源代码

可以看到网页存在三个跳转页面：Home / Projects / Contact us
依次进入三个页面，ctrl+u查看网页源代码。可以看到contact us页面源代码后存在flag1；

在这里插入图片描述

base64解码：allthefiles；

在这里插入图片描述
3.2. 源代码审计

在源代码中看到相同base64编码格式，但格式却分开为三个，依次复制粘贴进行base64解码。得到flag2；

在这里插入图片描述 base64解码：得到flag2.

可以看到flag2中仍然是base64编码，继续解码，得到：imfadministratorroot；

在这里插入图片描述

3.3. 访问imfadministrator网页目录：

猜测用户名，返回contact us页面，contact页面存在三个邮箱账户，依次使用，尝试用rmichaels用户，账号是对的，密码作为一个空数组（pass[]=123）越过了，获得了内容flag3；

第二种方法：
（通过注释得知密码是直接写在php文件里的。猜测是使用strcmp之类的来判断密码的。当strcmp的两个字符串参数相等的时候会返回0，但如果把string和array相比较的话，strcmp也会返回0。所以将源码里的
修改成使pass参数变成array。)

flag3 {Y29udGludWVUT2Ntcw==}
解码：continueTOcms
在这里插入图片描述

在这里插入图片描述

3.4. SQL注入攻击:

点击IMF CMS，通过登录后，继续查看信息
继续用php执行SQL注入攻击，报错!!! 发现URL里面pagename参数存在注入点，复制cookie信息然后使用sqlmap测试：

sqlmap -u ‘http://192.168.10.29/imfadministrator/cms.php?pagename=upload’ --cookie ‘PHPSESSID=8t2qts27vh6dpgis2b94101jn3’ --dbs
（因为是登陆之后发现的注入点，那么在注入的时候是需要带入登陆成功的cookie）

在这里插入图片描述