项目实战 | 记一次有趣的测试经历

admin 2021年4月22日23:20:27评论52 views字数 1433阅读4分46秒阅读模式

项目实战 | 记一次有趣的测试经历

一  起因:上网冲浪无意间点进来了,一个记账的后台管理系统
项目实战 | 记一次有趣的测试经历
一看到登录框,简单测试了一下弱口令和万能密码,无果
然后就测试一下SQL注入吧,登录框常见的漏洞,Burp抓包看一下
用户名:admin’  密码:123456
项目实战 | 记一次有趣的测试经历
回显提示了数据库报了一个错误,应该存在post注入吧
Sqlmap一把梭,保存数据包到本地,用sqlmap去跑……
项目实战 | 记一次有趣的测试经历
python sqlmap.py -r 1.txt -p b --dbs      ---列裤子
项目实战 | 记一次有趣的测试经历
要找记账后台登录密码,当然找jizhang这个数据库
python sqlmap.py -r 1.txt -D "jizhang" --tables    ---找婊
项目实战 | 记一次有趣的测试经历
python sqlmap.py -r 1.txt -D "jizhang" -T "jz_user" --columns    --找列
项目实战 | 记一次有趣的测试经历
python sqlmap.py -r 1.txt -D "jizhang" -T "jz_user" -C "username,password" --dump  ---跑数据
项目实战 | 记一次有趣的测试经历
跑出来了,拿去解密,解密失败(需要时间)
裤子那么多 怎么能只找这一个?不是还有mysql数据库吗
继续跑  ---  一系列常规操作
python sqlmap.py -r 1.txt -D "mysql" --tables
项目实战 | 记一次有趣的测试经历
项目实战 | 记一次有趣的测试经历
项目实战 | 记一次有趣的测试经历
出来了密码,mysql账号一般默认都是root
拿去解密,解密的时候出现的有趣的事情
对比一下cmd5解密和somd5解密(对somd5表白,大佬 ლ(′◉❥◉`ლ))

项目实战 | 记一次有趣的测试经历
项目实战 | 记一次有趣的测试经历
有了mysql密码,尝试一波远程登录mysql
(忘记截图了,也就没有真相了)
登录无果,貌似是禁止远程登录了
尝试登录一下记账后台吧,看看管理员是不是都用这一个登录密码

然后就进来了……  
貌似是个私人记账的啊,没啥可以利用的点,收集一波信息试试
扫一下端口,端口开放情况:21;8098;9000;9001;9002;8090;8092
项目实战 | 记一次有趣的测试经历
开放的端口貌似都是不常用的,尝试访问一下,发现了有趣的东西
项目实战 | 记一次有趣的测试经历
端口8092开放了这个站点,尝试一下刚刚破解的mysql密码登录一波,结果又进来了项目实战 | 记一次有趣的测试经历
项目实战 | 记一次有趣的测试经历
随便看了一下 解析视频的后台,继续找下一个端口
项目实战 | 记一次有趣的测试经历
可道云的私有网盘,继续用老密码尝试登录。。。
项目实战 | 记一次有趣的测试经历
然后就进来了。。。私有网盘里边啥都有
项目实战 | 记一次有趣的测试经历
继续下一个端口(有趣的事情出现了)
项目实战 | 记一次有趣的测试经历
???这不是我用的typecho+xxx主题搭建的站点吗(杜绝广告)?尝试老密码(mysql那个)结果失败了
(这个前台访问密码在后台可以设置)
贴一张我个人博客的前台访问页面
项目实战 | 记一次有趣的测试经历
这,,,,猿粪呐,直接在url后边加入admin跳转到后台登录页面,继续输入老密码项目实战 | 记一次有趣的测试经历
又进来了。。。这(这里有电子邮箱地址,先记下来,因为这个网站是私人的,还写个人博客,提交到src无意义,不如直接发邮件友情提示他一下),
看一下他网站文章结构,发现都设置了访问密码(文章内容是家人合照,应该是自己当做相册吧)
我的网站内容文章也有访问密码,在文章编辑页面可以看到密码是多少,于是。。
项目实战 | 记一次有趣的测试经历
这个密码也可能是前台页面访问密码,尝试登录
项目实战 | 记一次有趣的测试经历
项目实战 | 记一次有趣的测试经历
一模一样的主题。。。


出于是个人网站,没有必要进行深入了,直接发邮件告诉他需要修复一下就行
然后就加了联系方式说了详情项目实战 | 记一次有趣的测试经历
然后就愉快了结束了

问题就是那个记账系统,貌似fofa还能在搜几个,不正规系统的确存在这样那样的洞(当然,正规的也存在),搞不好还有马儿存在,各位师傅谨慎使用(支持正版),另外密码别再统一了,不然我们这种弱口令测试工程师怎么活啊


项目实战 | 记一次有趣的测试经历

负责人微信


END.



欢迎转发~

欢迎关注~

欢迎点赞~



本文始发于微信公众号(安译Sec):项目实战 | 记一次有趣的测试经历

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月22日23:20:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   项目实战 | 记一次有趣的测试经历http://cn-sec.com/archives/197630.html

发表评论

匿名网友 填写信息