网站加入地图导航,企业邮箱账号大全,化妆品营销型网站模板下载,成都装修网站建设多少钱山东泽鹿安全威胁管理 漏洞运营 应急响应原创声明#xff1a;泽鹿安全原创文章#xff0c;欢迎转载#xff0c;请注明出处#xff01;ID : 秋水拿到授权系统IP#xff0c;首先测一下目录找后台#xff0c;Nmap扫一下端口#xff0c;看看后台是不是在其他端口就可以了… 山东泽鹿安全威胁管理 漏洞运营 应急响应原创声明泽鹿安全原创文章欢迎转载请注明出处ID : 秋水拿到授权系统IP首先测一下目录找后台Nmap扫一下端口看看后台是不是在其他端口就可以了这里很简单后台很好找就在Admin目录下如下图先看一下前台1. SQL注入漏洞一般情况下还是想看看新闻详情页面总觉得此页面会存在漏洞但是很不友好此页面测试了一下过滤的相当全面只能换个页面新闻列表此页面是存在注入的但是测试了之后会发现输入and 1和and 0都是错误页面换或者%26都不行OR和XOR也都不行order by也返回错误注释符号也返回错误那现在只希望这个传参的类型是整型的了。事实证明id2-1返回了和id1一样的数据那这里就很简单了直接在1的位置输入payload就可以比如id105-ascii(substring((DB_NAME()),1,1))说明第一个字符的ascii值为104过我不想注入拿密码后来事实证明真的解不出来2. 弱口令是弱口令吗我反正admin/admin进了后台成功跳转了index但是这个cookie相当可疑啊我用的admin登录的。U_ID2就忍了Name怎么还成user了莫不是。。。但这里依然不能确定但是这cookie的样子不是未授权就是越权啊3. 未授权访问于是乎尝试一波未授权毕竟还是要写报告的直接访问index页面会有弹窗身份过期但是在你点击确定之后才跳转登陆页面这就已经是漏洞了如果能访问到东西那就未授权无疑了而这种弹窗非常好过的把返回包的js代码删了就行如下图页面停留在了后台页面这种程度吧其实应该也算未授权了相当于后台整体框架被泄露但是应该是个低危。于是乎测试了一下是否存在接口未授权只能说某些接口吧。比如上面的上传就是只能看上传提交的页面会对身份信息进行验证但是查看用户页面就不存在直接查看所有用户名和密码如下图从返回信息的密码里面我尝试解码一波16位应该是md5但是没有解出来admin这种口令按说肯定可以撞出来啊为了进一步确定猜想我看到user的密码和admin的密码是一样的尝试登录user用户口令为admin登录失败wtf应该就是了不是弱口令可能是某程序员镶嵌在代码里的万能账户无论修改密码与否admin/admin是都能登录的不知道算个啥洞4. 文件上传之zip为什么要把这个东西提一下因为真的发现了漏洞不一定上传脚本语言才是危害大。你可以上传html有人可能会问html能干嘛首先钓鱼哥哥们都知道st2里面存在可利用Webconsole的页面你可以上个html的前置跳转页完成利用甚至对于这种国家单位来说你传个某些方向言论的html简直是不好描述妥妥的高危。而我今天选择了上传zip哈哈哈其实因为上传shell的方式我实在没绕过去白名单加重命名一般就不想了巧了zip是白名单为什么说这个传zip是个漏洞呢先来看看前台某页面这里的文件基本都是zip和rar的供系统用户下载。而且比如flash是必须装的不然不能正常访问此系统那么问题就来了如果这个上传点可控我可以直接压缩一个反弹马啊。然后我找到了就是下面这个页面自建资源接下来我们就可以用msf生成一个exe的反弹shell的木马文件改个名压缩一下免杀的话这里不提只是思路如下图flash.zip成功上传如图看看前台效果如下然后打开我们的msf设置payload后监听。成功回弹如下接下来对于Windows终端可以进行提权一般windows都是在administrators组里面我们需要过一下UAC。这里可以适用msf的exploit/windows/local/ask模块如下成功得到system权限。如果你觉得依靠用户发现后下载太慢的话你甚至还可以发个公告告诉大家flash插件改更新了反正你有万能账户。端起茶叶水等着shell回弹。此漏洞针对用户终端设备但是可以获取大量敏感信息比如用户信息如果拿到相关单位信息科的某电脑甚至可以直接获取大量登录账号密码。总结觉得这种有一点点意思分享下在我们日常挖洞中可能某些不起眼的功能会带来较大的危害。
