0x01 前言
在上次攻防演练中,给定的资产少之又少,很难找到突破点,但是经过一轮的信息收集,只有一个登录框 爆破无果 js无果 目录扫描发现一个ckfinder 在iis7.5下没啥用 因为是定点打靶标 就没看其他端口 直接上fofa 导出后批量跑了一下备份。最终通过文件上传拿下shell。
一堆资产 随手找个.net的站 (个人感觉攻防演练出洞最多的)
末尾可领取字典等资源文件
0x02 踩坑与碰壁
只有一个登录框 爆破无果 js无果 目录扫描发现一个ckfinder 在iis7.5下没啥用 因为是定点打靶标 就没看其他端口 直接上fofa 导出后批量跑了一下备份
备份扫到几个test.rar
内容如下
因为前期做目标扫描知道有/test目录 知道是test目录的备份 做成字典批量扫描 存在两个未授权 其他都302跳转登录。
俩个查询接口 对其参数fuzz 得到3个参数
根据字面意思 猜测start 和 limit控制起始和范围 query进行查询,构造请求
以为会有sqli 结果并没有。。。好吧好吧 是你逼我的
0x03 继续寻找Getshell
随后对多个站点批量爆破弱口令,终于通过弱口令登录了一个系统,进行黑盒测试 没有一些逻辑洞 权限做的很严格 发现一处上传getshell 可惜需要登录 又不能偷懒了。
检查用户表有没有默认账户和密码 2.审计其他未授权的上传点/登录绕过/sql注入等 通过查看用户表 发现密码还做了加密存储(非md5) 123456 被加密成0TFIiJiAWUk= 目测des ......行啵 工作量+1
0x04 代码审计
sql注入
在一些无需登录的接口中尝试寻找SQL注入
看着这些参数 感觉似曾相识(后面发现那俩接口都做了参数化) 差点就直接跳过了
跟踪SysSubContractItemBll.instance.GetAllEntities 全程没有任何过滤
构造poc
?query=1%27;WAITFOR%20DELAY%20%270:0:5%27--DecryptDES
有了sqli 对密码进行解密就行了 追踪了一下登录了相关方法
追踪EncryTool.DeCrypt
跟进 DecryptDES 其核心方法为下:
调用调试一下 (刚开始找错key了)
0x05 目标站点Bypass
Sqli bypass
sql注入发现被拦截 改用post 填充大量脏字符绕过
解密后成功登录系统
上传bypass
尝试了很多
最终对Content-Disposition修改 删除form-data 填充脏字符绕过
Content-Disposition: 111111111111111111111111111111111111111111111111111111111111111111111name="Files"; 111111111111111111111111111111111111111111111111111111111111111111111111filename="9.asp";aaaaaaaaa
攻防比挖SRC简单的多,并且都是比较老的站点,没有WAF,最终成功Getshell!
原文始发于微信公众号(渗透安全HackTwo):记一次攻防演练挖到多个洞并拿下站点-攻防演练
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论