记一次漏洞挖掘实战之木桶短板

  • A+
所属分类:安全文章

客户给了个站 授权渗透


客户要求:纯黑盒 无测试账号

记一次漏洞挖掘实战之木桶短板就一个登录框 忘记密码功能还是这样

记一次漏洞挖掘实战之木桶短板
人直接傻了   先看看能不能爆破吧

记一次漏洞挖掘实战之木桶短板发现密码加密了

记一次漏洞挖掘实战之木桶短板好家伙 还是动态密钥
验证一下发现确实 两个一样的密码加密不一样

96e437f990f8df4078b535d40a53bdeddaa0c2503376f30ad2ec93ba5883fd4393909ba2bd1ae0d3d5e64ba10a2f2d617423a9fcc5017d421675fe8564ea71ccc36521a4936a593ad96db2782e3cbfdef79a7b02c8409020f57e0b055557fad444466728d2a592a4a1dea02fdbbd9f5d01571586d84f41d74b69b30d215ddbdf


4fb3f0d05a78b6dd5f19d07f10cab4cd2d226f46c5ce3af61f89ab0fa8fcc7fd6483a7840144820db0727a1c00f44cbd7e1c502c3c889a811c373e5d98634ec65ddcc3cb459adb7e6f39c6f207563536e354971336e199d3e85f3dcafb550fccee4782998aced13977a0df50b0a81d2af851b539909c8517f47328759af3a800

那mitmproxy+pyppeteer的方法就用不了了
且登陆失败后出现了验证码

记一次漏洞挖掘实战之木桶短板
经测试验证码不能重用 一些平常的验证码识别工具也不能识别
爆破这条路还是放在最最最最后吧


爆破走不通 爆目录看看:
只找到一些scripts、plugins、pictures、manual等403页面
404页泄露了绝对路径

记一次漏洞挖掘实战之木桶短板发现有用户名枚举

记一次漏洞挖掘实战之木桶短板手动试了很多账号 得到存在用户sysadmin
手动猜解密码没有成功


既然有scripts目录,那就爆破一下js文件吧(以前看过一篇挖src经验的文章说js经常会泄露敏感接口信息)
得到这些js

记一次漏洞挖掘实战之木桶短板翻一翻找到了修改密码的接口

记一次漏洞挖掘实战之木桶短板测了测也没啥用 没权限


但是在manual.js中发现了有意思的东西

记一次漏洞挖掘实战之木桶短板经常这些手册里面就会有默认口令之类的东西,或者从平台演示的图片里看到一些后台信息
翻看这些手册 在XX工程标准化运行巡查操作手册.pdf中发现了我想要的东西

记一次漏洞挖掘实战之木桶短板
一个app的下载二维码
并且发现了该app的默认口令,在下面的演示图中看到用户名是人名的格式


记一次漏洞挖掘实战之木桶短板毫不犹豫的下载下来安装到模拟器中
代理到burp上发现传输目标是一个域名的20000端口,但是该域名解析的ip根本没开web
我猜想可能是客户更换了服务器ip,就将burp上的域名改成了客户给的目标这个ip,果然可以正常访问
于是在本机上做了个hosts绑定,这样模拟器的app就能正常通信了

记一次漏洞挖掘实战之木桶短板发现没有验证码 密码就md5加密了下 那还等什么 开始爆破
在登录时发现登录的密码自动填充了


记一次漏洞挖掘实战之木桶短板
发包,拿着burp抓到的哈希密码去解密:

记一次漏洞挖掘实战之木桶短板得到了个密码
配合前面收集到的管理员用户名sysadmin试了试


记一次漏洞挖掘实战之木桶短板进去了!
账号拿到web端登一下

记一次漏洞挖掘实战之木桶短板
好吧

再利用之前得到的信息,账号设置人名  密码设置123

记一次漏洞挖掘实战之木桶短板又得到了一批账号
总算有点突破了


接着将burp的代理挂到xray上,开始点app里面的功能
发现几处上传功能 点完看看xray的html-------挖掘到个sql注入:

记一次漏洞挖掘实战之木桶短板是sqlserver的报错注入
复制下来扔sqlmap:

记一次漏洞挖掘实战之木桶短板发现sqlmap没识别到json里的参数,那自己加个星


记一次漏洞挖掘实战之木桶短板
继续

sqlmap:python sqlmap.py -r 1.txt  --random-agent --dbms=mssql

记一次漏洞挖掘实战之木桶短板很悲剧
包复制到burp看了看,这个报错注入只能使用convert()的报错方法来跑数据,但是这个只在level高的情况下sqlmap才会去使用,调成level2 结果还是没跑出来
那就打开payload看看 convert在哪个level等级才会用
路径在F:sqlmap-1.4dataxmlpayloadserror_based.xml
找到了可以利用的payload:

记一次漏洞挖掘实战之木桶短板将<level>3</level>改成1
成功注入

记一次漏洞挖掘实战之木桶短板不是dba

记一次漏洞挖掘实战之木桶短板
用这个shell无望
只能找找有没有web端的管理员密码了

记一次漏洞挖掘实战之木桶短板密码哈希解不出


那只能试试前面看到的几个上传功能了


最后发现sysadmin里的某功能有图片上传

记一次漏洞挖掘实战之木桶短板于是访问该功能的时候抓包,就可以获得图片的路径

记一次漏洞挖掘实战之木桶短板
惊喜的发现图片路径是在web端的那个端口上的
看到上传图片的上报人是xx燕,刚好刚刚爆破了一批普通账户存在这个账户

记一次漏洞挖掘实战之木桶短板
于是登录xx燕账户
上传图片,更改后缀为aspx
sysadmin这边重新获取路径访问


结果aspx传上去访问给我重定向到404页面了,猜测iis环境配置有问题 aspx马权限太高跑不起来
于是换成asp马
成功getshell

记一次漏洞挖掘实战之木桶短板深深理解到什么是木桶原则。

记一次漏洞挖掘实战之木桶短板


推荐阅读:


记一次漏洞挖掘实战之木桶短板


点赞,转发,在看


文章来源:先知社区

作者:thr0cyte

记一次漏洞挖掘实战之木桶短板


本文始发于微信公众号(HACK学习呀):记一次漏洞挖掘实战之木桶短板

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: