HW实战 | 某次越权到文件上传

admin 2024年8月30日08:48:08评论39 views字数 718阅读2分23秒阅读模式

0x01 信息收集到越权

在进行信息搜集的时候发现存在某站

HW实战 | 某次越权到文件上传

通过账户破解test01/123456 进入后台

HW实战 | 某次越权到文件上传

登进去后台基本没有什么功能

HW实战 | 某次越权到文件上传

在点其他功能的一瞬间会发现出现一个短暂的校督导功能(也出来了一些新增功能),一瞬间又恢复到游客界面

HW实战 | 某次越权到文件上传

这个时候怀疑该系统存在越权等逻辑漏洞,随即更换思路抓包看看是否数据包存在一些能越权参数。

在首页登录界面,点击质量中心过程中抓包:

HW实战 | 某次越权到文件上传

可以看到该参数疑似存在越权漏洞,修改test01更改为admin放包

HW实战 | 某次越权到文件上传

进入后台功能页面,发现成功越权到管理员 功能也丰富了起来

HW实战 | 某次越权到文件上传

0x02 后台注入

登录了后台首先进行注入测试,通过抓包教师功能处,发现JS参数存在SQL注入,通过一个单引号不正常

HW实战 | 某次越权到文件上传

两个单引号正常判断

HW实战 | 某次越权到文件上传

抓包丢进SQLMAP

验证注入ORACLE数据库 ROOT权限

HW实战 | 某次越权到文件上传

0x03 后台任意文件下载

在新闻管理处存在文件上传

HW实战 | 某次越权到文件上传

这里尝试查看该文件 随即弹下载 并没有预览功能

HW实战 | 某次越权到文件上传

尝试抓包看

发现有个path参数,且是绝对路径,猜测存在任意文件下载

HW实战 | 某次越权到文件上传

修改为C:Windowswin.ini 成功下载

HW实战 | 某次越权到文件上传

0x04 后台任意文件上传

继续测试新闻管理处的上传功能,上传抓包修改后缀直接上传成功

HW实战 | 某次越权到文件上传

HW实战 | 某次越权到文件上传

HW实战 | 某次越权到文件上传

由于直接上传纯木马文件会提示源文件不存在 如下

HW实战 | 某次越权到文件上传

所以得制作一个图片马(这里我并没有直接制作,是直接上的正常图片改的后缀)

HW实战 | 某次越权到文件上传

通过访问路径 没有报源代码不存在,已经弹下载 这里是怀疑要么不解析 要么是文件保存目录并没有在这里

HW实战 | 某次越权到文件上传

这个时候想到了之前的任意文件下载给出的绝对路径,可以搭配爆出来的绝对路径来配合fuzz,首先找了正常的文件路径

HW实战 | 某次越权到文件上传

这个时候尝试拼接下之前的JSP木马
这里使用一些目录字典爆破

也是在upload下成功500爆错 说明存在这个文件

HW实战 | 某次越权到文件上传

原文始发于微信公众号(甜甜圈安全):HW实战 | 某次越权到文件上传

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月30日08:48:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HW实战 | 某次越权到文件上传http://cn-sec.com/archives/3108180.html

发表评论

匿名网友 填写信息