本文记录了在某学校网站渗透测试项目中的经历,通过发现并利用逻辑漏洞成功获取后台超级管理员权限的过程。进一步,通过利用文件传输服务成功获取Shell,揭示了系统存在的安全隐患。
选了一个学校的目标,心想可以找找学生信息泄露的信息,上上分~按照往常习惯,探测一下端口,未发现高危端口对外开放,接着扫了扫目录,检测了一番接口,未果。进入登录页面,有常规数字验证码,看看绕过。很好可以绕,直接进入intruder模块,按照常规的规则是学号+身份证后六位,收集收集信息,开始爆破....
爆破依旧没有撕开一个口子,属实艰难,看到登录页面有忘记密码功能,开始尝试观望一下逻辑漏洞是否存在:
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
点击忘记密码,进入密码重置页面,先输入任意用户名和邮箱,看是否存在校验:
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
发现第一步并没有其账号关联的身份信息进行校验,直接进入登录密码重置步骤了
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
更离谱的是邮箱验证码直接返回在响应包中,话不多说,直接重置管理员admin账户的密码
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
OK,直接用修改的密码,进入系统后台,确实是管理员权限。
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
进而,在系统选项-数据库浏览器内,有好几个表,可查看学校学生的信息,包含学生姓名、身份证号等,大概几万条。当时年轻气盛,不知数据分的含金量,真是可惜了呀。
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
在系统管理-工具管理内发现该系统有文件传输服务,先拖个普通文本上去观望观望,没有限制,直接上传到服务器上。
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
传个webshell上去,也是没有任何拦截的,咱就是这么平平无奇的拿到shell ~
![重生第一篇之不经意间的Getshell]( "重生第一篇之不经意间的Getshell")
外围打点看似枯燥乏味,但也蕴含着无数的可能性,在思路与运气的结合下,或许不经意间就能收获意外的成果。
原文始发于微信公众号(Seraph安全实验室):重生第一篇之不经意间的Getshell
评论