记一次某授权站丝滑Getshell思路

admin 2023年3月9日08:22:43评论61 views字数 802阅读2分40秒阅读模式


声明:
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不后果与文章作者和本公众号无关。


信息收集

首先拿到站点先进行访问

记一次某授权站丝滑Getshell思路

可以看到这是一个后台管理平台,通过使用Chrome中的插件看一下此站点使用了什么语言开发的和对方服务器类型为后面的渗透做准备

记一次某授权站丝滑Getshell思路

是一个ASP的站点,服务器类型Windows server,IIS版本7.5

接下来就是对登录接口进行一下登录看看登录逻辑关系

记一次某授权站丝滑Getshell思路

输入用户名会推送第一个请求推测为验证用户名是否存在或者可否登录再或者是用户名的合法性,这个先不管继续看登录接口的返回状态

记一次某授权站丝滑Getshell思路

可以看到是通过sign的状态来进行判断是否登录成功,思路有了尝试绕过进入后台


开始登录绕过

使用burp拦截返回请求包

记一次某授权站丝滑Getshell思路

然后在放包,成功跳转至后台

记一次某授权站丝滑Getshell思路

就简简单单截个图证明一下进到后台了,由于没有拿到认证信息所以没有数据,那么思路清晰点防止被发现为了上传webshell等后渗透操作,直接瞄准用户管理or个人中心模块


未授权密码重置

开始查看密码重置的一个逻辑关系,然后尝试绕过

记一次某授权站丝滑Getshell思路

和登录接口一样会产生第一个请求验证,通过字段可以猜到是去验证原密码是否正确,后面通过放包测试验证了这一个逻辑关系,这里就不过多描述直接步入重点,拦截返回包修改mes字段为true,然后第一层的登录原始密码验证

记一次某授权站丝滑Getshell思路

然后再输入新的密码,点击保存

记一次某授权站丝滑Getshell思路

在请求包中看到一个很神奇的现象,没有发送旧密码,直接发送了新密码

记一次某授权站丝滑Getshell思路

然后咱们放包看一下是否成功

记一次某授权站丝滑Getshell思路

非常的nice,返回success,这里可以自信点的猜测,后台肯定写死admin这个用户,接下来就是验证了,直接使用admin/admin123登录后台

记一次某授权站丝滑Getshell思路

可以看到通知公告这里有了数据,成功登录后台,非常的nice


最后

最后在后台找到一处文件上传,上传文件

记一次某授权站丝滑Getshell思路

简简单单上传个txt,验证一下吧,不做过多的深入了,原则上点到为止!

记一次某授权站丝滑Getshell思路


欢迎关注听风安全,分享更多安全技术~


原文始发于微信公众号(听风安全):记一次某授权站丝滑Getshell思路

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月9日08:22:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次某授权站丝滑Getshell思路http://cn-sec.com/archives/1231959.html

发表评论

匿名网友 填写信息