0x01 信息收集到越权
在进行信息搜集的时候发现存在某站
通过账户破解test01/123456 进入后台
登进去后台基本没有什么功能
在点其他功能的一瞬间会发现出现一个短暂的校督导功能(也出来了一些新增功能),一瞬间又恢复到游客界面
这个时候怀疑该系统存在越权等逻辑漏洞,随即更换思路抓包看看是否数据包存在一些能越权参数。
在首页登录界面,点击质量中心过程中抓包:
可以看到该参数疑似存在越权漏洞,修改test01更改为admin放包
进入后台功能页面,发现成功越权到管理员 功能也丰富了起来
0x02 后台注入
登录了后台首先进行注入测试,通过抓包教师功能处,发现JS参数存在SQL注入,通过一个单引号不正常
两个单引号正常判断
抓包丢进SQLMAP
验证注入ORACLE数据库 ROOT权限
0x03 后台任意文件下载
在新闻管理处存在文件上传
这里尝试查看该文件 随即弹下载 并没有预览功能
尝试抓包看
修改为C:Windowswin.ini 成功下载
0x04 后台任意文件上传
继续测试新闻管理处的上传功能,上传抓包修改后缀直接上传成功
由于直接上传纯木马文件会提示源文件不存在 如下
所以得制作一个图片马(这里我并没有直接制作,是直接上的正常图片改的后缀)
通过访问路径 没有报源代码不存在,已经弹下载 这里是怀疑要么不解析 要么是文件保存目录并没有在这里
这个时候想到了之前的任意文件下载给出的绝对路径,可以搭配爆出来的绝对路径来配合fuzz,首先找了正常的文件路径
这个时候尝试拼接下之前的JSP木马
这里使用一些目录字典爆破
也是在upload下成功500爆错 说明存在这个文件
原文始发于微信公众号(甜甜圈安全):HW实战 | 某次越权到文件上传
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论