记一次峰回路转Getshell

admin 2024年11月7日12:06:47评论1 views字数 1146阅读3分49秒阅读模式

免责声明

由于传播、利用本公众号琴音安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号琴音安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

0x01正文

信息收集

拿到目标为xxx.example.com

子域名收集一波,在进行存活探测.

子域名扫描工具,推荐使用网络空间搜索引擎,如shodan,fofa,鹰图,或者子域名挖掘机,OneForAll,subfinder等工具.

存活探测推荐工具httpx

下载链接:

https://github.com/projectdiscovery/httpx

记一次峰回路转Getshell

端口扫描无果

发现存在有两个站点存活,A.xxx.com和B.xxx.com

我们先对A.example.com进行渗透

在A.example.com一打开还是大家熟悉的登页面,还好验证一次

记一次峰回路转Getshell

尝试用户名admin,test,root页面均提示用户名不存在,想着先爆破一下用户名,掏出祖传字典直接怼,意外发生了.响应包中居然有SQL语句报错信息.

记一次峰回路转Getshell

看到有注入存在想着直接上sqlmap --os-shell 叽叽叽shell失败

MySQL数据库拿shell必备条件:

数据库当前用户为root权限;知道当前网站的绝对路径;PHP的GPC为 off状态;(魔术引号,GET,POST,Cookie)写入的那个路径存在写入权限。

转眼把目光放在B.example.com上,通过前面的信息收集发现是.net程序

记一次峰回路转Getshell

对于这种有个小技巧,可以尝试在URL后面拼接

admin/login.aspxadmim/top.aspxadmin/main.aspx

踩狗屎运直接一个admin未授权到后台,大起大落功能都不能使用

记一次峰回路转Getshell

尝试访问admin/top.aspx路径页面直接跳转到后台登录处

记一次峰回路转Getshell尝试弱口令,SQL注入,修改响应包中数据均不成功,难搞

0x02峰回路转

本来到这里已经没心态了,本想就此收手,突然想起来还有js文件没查看,于是便使用了F12大法,功夫不负有心人,让我找到一个接口

记一次峰回路转Getshell上传txt成功这里也可以尝试截断绕过

 :,;、%00、’、^

主要应用于Windows上,在创建文件时不允许出现特殊字符.

记一次峰回路转Getshell

直接上传成功,访问提示404,应该被杀掉了,做了一下免杀处理shell成功

记一次峰回路转Getshell

到此点到为止,收工提交报告

0x03小结

推荐两个收集JS敏感信息常用的工具

https://github.com/hakluke/hakrawlerhttps://github.com/p1g3/JSINFO-SCAN

浏览器插件:

FindSomething

直接下载即可

记一次峰回路转Getshell

本文提及的工具均已打包至网盘,公众号后台回复20230619获取

原文始发于微信公众号(琴音安全):记一次峰回路转Getshell

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月7日12:06:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次峰回路转Getshellhttps://cn-sec.com/archives/1835225.html

发表评论

匿名网友 填写信息