对足球管理的渗透测试

admin 2022年1月4日23:02:58安全文章评论32 views1034字阅读3分26秒阅读模式

作者:星盟安全团队 husins

记录一次从密码爆破到远程RCE的实战过程

信息收集

获取靶标之后,头等大事肯定是信息收集

对足球管理的渗透测试

因为是一个管理系统,只授权了对这个网站进行渗透测试,因此没有做子域名,旁站等信息收集。

爆破登陆

进入该系统:

对足球管理的渗透测试

尝试爆破账号和密码。

对足球管理的渗透测试

这里存在验证码,使用burpsuite抓包,发现是个vue的前端校验,前后端分离的站就是容易出现这种问题。既然是前端校验,那就是没有验证码,直接开始爆破。

对足球管理的渗透测试

账号密码逻辑简单,我好想在做CTF,真的顺。

一开始我尝试爆破admin账号,发现管理员有点聪明,密码还是很复杂的,我跑了足足一万六千多条,啪的一下没了,啥都没跑到。当时有点不知所措了。这里我就开始转变思路,我不信没有弱密码,我开始固定密码为123456,去爆破用户名

对足球管理的渗透测试

终于是有心人天不负,爆破到了一个用户名为 user1,应该是开发的时候测试账号没有删除,愉快的使用这个用户登陆吧!

对足球管理的渗透测试

进入之后发现在个人中心处,这个只是一个普通用户。

权限提升

查看cookie发现Name值就是用户名

对足球管理的渗透测试

尝试将Name值换为admin

对足球管理的渗透测试

直接变成系统管理员了,运气是真的好。

对足球管理的渗透测试

功能也多了起来,直接看权限管理:

对足球管理的渗透测试

好嘛,这就是系统管理员嘛,这也太香了,密码是md5加密之后的值,可以使用在线解密的网站,读取大量用户的信息。至此WEB端就告一段落喽。

数据库RCE

还记得之前的信息收集嘛,对它的ssh和postgretsql服务进行爆破

ssh服务爆破失败,但是postgretsql爆破成功了,我只能说MSFyyds

对足球管理的渗透测试

能登陆postgretsql,这我可就太懂了,因为不久前刚复现过

PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)

# 我上来就是payload一把梭,就是梭哈
psql --host xxx.xxx.xxx.xxx  --username postgres
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;

对足球管理的渗透测试

你说网站运维他难不难受,很难受。

拿到RCE之后,想过写公钥,和反弹shell。不知道是我太菜了,还是因为postgresql以低权得方式运行的吗,都失败了。后来通过RCE也探测到靶标主机上存在redis服务,但是因为莫名其妙的原因,网站宕机了,这次的渗透测试也就结束了


本文始发于微信公众号(星盟安全):对足球管理的渗透测试

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月4日23:02:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  对足球管理的渗透测试 http://cn-sec.com/archives/470211.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: