【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

  • A+
所属分类:安全文章

涉及知识点

社工爆破burpsuite抓包上传木马绕过提权、进后台

昨天有个朋友问我能不能拿一个学校的站。

我说学校的一般做的挺好的,都是外包,加了waf,安全狗,360之类的。

他坚持让我试试,他说卡了很久没拿下。

想着在家也无事做就去试试玩。

首先用了动态代理,怕有抓IP的脚本检测。

然后点看了学校的官网。

界面做的不错,还有一些小的渲染动画。

然后在页面找到了搜索栏,输了一个 ‘ 没有报错,一看就是过滤不严。

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

只是提示了结构中没有这个模板


然后随便在主页上点开了一个页面

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

发现了可注入的地方,尝试

’ 页面是空白

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)


And 1=1

And 1=2

都是同上,sqlmap扫描了一下,发现拿不到库。


在搜索栏试了一下XSS跨站脚本,几个弹窗口,嵌入页面。都是未果。

最后,把脚本用base和url编码了也不行。


正准备放弃的时候,发现主页下方有几个模块。其中有个是查询成绩的,就点进去试试看。

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)


惊了,发现了很low的登陆页面。


随便点了学生登陆

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

惊了,发现居然没有验证码。省了个脚本。


然而看下说明,居然把学号格式都说清楚了。。害

下面还有要用IE也是醉了。

接着用python生成了一个1-9999号的学号序列。

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

然后打开burp,先把上游代理配置好,我把动态IP的本地端口设在1235,burp上游设置好,设置截断代理。截断代理设置1234,把chrome的代理也设置好。


【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)


好了以后,截断打开

对了,这里的burp最好用pro版。因为要用我们自己做的学号字典爆破。


好了,打开了截断,提交一下页面的表单


学号输入123

密码1234

到burp抓包

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

发现提交的参数中还有个ip的参数,还有来自(laizi) 接了一串编码的字符,果断改掉

输了一个日本的ip

不过我们有动态ip也不怕检测其实,但是为了安全性和后期做跳板后门还是把它本地的改掉

好了以后放到intruder


【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

这里把密码设置成123456感觉会有更多人使用

接着把username 设为载荷变量


把线程调制15,太高怕对方有流量检测

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

接着把字典导入。

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

开始爆破,到1000号左右的时候抓了到2个,我没等它继续跑了。两个够用了,


接着用学号和密码进入系统

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)


发现有上传照片,于是把php写的小马祭出。

在上传页面发现有格式检测。于是把php木马镶嵌到目标照片中上传抓包。

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

把包的格式改成了xxx.jpg.php上传,结果弹出错误的图片格式,302.

接着我又试了其他方法感觉效果并不好,又因为后面提示需要管理员审核,所以放弃了这条思路。(后来使用内嵌脚本成功了。


然后同样的方法进入了教职工的后台,发现有上传成绩资料之类的信息。于是,果断上马。

小马加大马,成功上传。


接着在成功上传的页面又抓了个包,找到了文件的上传路径,(就叫upload…好吧

用菜刀一连接就进了,打开后台管理,上了提权脚本和后门程序。


接着关掉菜刀,直接进后台了。

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

后台界面可以改学生照片,更新学籍信息,还有成绩和等级评分还有大量隐私信息。感觉这管理员太不负责了吧。


整个过程耗时10分钟不到,关键过程的截图已经略去。希望大家学习技术和思路就好,切勿进行违法犯罪的活动。本实战案例仅作为技术分享,切勿在未经许可的任何公网站点实战。


————————————————

作者:Taneeyo

引用链接:https://blog.csdn.net/Taneeyo/article/details/104538082

推荐阅读:



渗透实战系列


【渗透实战系列】|17-巧用fofa对目标网站进行getshell

【渗透实战系列】|16-裸聊APP渗透测试

【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点

【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透实战测试(非常详细,适合打战练手)

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙(文末附【渗透实战系列】其他文章链接)

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

长按-识别-关注

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

Hacking黑白红

一个专注信息安全技术的学习平台

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

点分享

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

点收藏

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

点点赞

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

点在看

本文始发于微信公众号(Hacking黑白红):【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: