记一次edu站点从敏感信息泄露到getshell – 先知社区

  • A+
所属分类:安全文章

                                  

前言
2020-10-03报送edusrc,目前已修复。
本次渗透具有一定运气成分,且比较基础,各位师傅图个乐就好,有任何问题欢迎指出!
感谢墨渊团队的各个师傅们的指点,再次致以诚挚的谢意。
虽然该漏洞已修复,但烦请各位师傅如果看到有漏点的地方麻烦提醒下,以免出现不必要的争端。
渗透过程:
网站敏感网站备份文件泄露———>本地搭建———>发现原网站许多隐藏功能点(重点在注册点)———>注册用户———>进入后台发现存在用户头像的上传点———>利用姿势上传一句话木马———>getshell


正文
某天无聊在挖掘edu定向挖掘的过程中,无意间扫到了该edu子域名下的一个网站的备份网站文件泄露,随下载看看里面到底有什么骚东西。
备份文件的下载地址类似这样:http://xxxx.xxxxx.edu.cn/xxxx/data.rar
正好也看看这个子域名下到底是个什么样的网站
翻了一翻,发现该网站下除了登入点以外其他什么都没有,登陆点需要学号以及密码才能登录
(忘记截图了,抱歉,师傅们!)
既然这样,那我们就看看刚刚的敏感文件里有什么吧。
翻了一下压缩包中的文件,发现压缩包中的文件都是静态html文件,且对应的就是该网站所有的功能点,猛翻一通发现了一个注册的页面,为我们接下来的渗透埋下了伏笔。
data.rarhtmlusertplsapp
记一次edu站点从敏感信息泄露到getshell - 先知社区
查看register.html 文件
再点击立即注册
记一次edu站点从敏感信息泄露到getshell - 先知社区
页面报错,但是得到了注册点的位置


记一次edu站点从敏感信息泄露到getshell - 先知社区


访问
http://xxxx.xxxx.edu.cn/index.php?xxxxxregister


记一次edu站点从敏感信息泄露到getshell - 先知社区


进入了注册页面,成功注册
测试账号 test123 / 123456
登录后台


记一次edu站点从敏感信息泄露到getshell - 先知社区


进入用户中心


记一次edu站点从敏感信息泄露到getshell - 先知社区


该处可以上传php一句话木马
但是需要姿势上传,这里其实是黑名单限制,除了图片类型的文件都不能上传,但是后端的代码应该是取.之后的文件名存储,所以导致了上传一句话木马xxxxx.gif.php,到了后端变成了xxxxx.php
将一句话木马php 后缀改为gif
截包 后缀加上.php
F12查看路径


记一次edu站点从敏感信息泄露到getshell - 先知社区


getshell.
记一次edu站点从敏感信息泄露到getshell - 先知社区
System权限
edu未授权不做后续渗透.
完结撒花。



WENZHANGTUIJIAN

文章推荐

记一次edu站点从敏感信息泄露到getshell - 先知社区

全方位黑客养成秘笈-视频+实战+工具+书籍,限时免费领

[干货基础]域渗透学习

社工心理学:如何让LOL找你约架的社会人给你道歉

渗透测试之信息收集的问答与讨论

记一次渗透测试利用Portainer进行docker逃逸获得宿主机Ubuntu权限。


                           

本文始发于微信公众号(渗透云笔记):记一次edu站点从敏感信息泄露到getshell - 先知社区

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: