某校渗透测试报告

  • A+
所属分类:安全文章

文章来源粉丝投稿


前言:

本次测试是某教务系统审到后台的洞需要灰盒测试验证一下,故去打使用该系统的学校,目标还是拿到账号密码。

攻击路径如下:

某档案网站文件上传getshell→翻数据库得到工号+身份证→谷歌搜到多个系统使用手册→默认密码进入教务系统+vpn默认密码登录进内网→本机fscan扫内网b段+手测挖到sql注入。


具体问题如下:

一、某档案系统文件上传至命令执行bypass_waf(外网打点)


http://xxx.edu.cn:8080/


注册账号和密码:test666/123456(登录或者自己注册均可),学籍办理处可上传,但有waf,用双文件名可绕过waf


某校渗透测试报告


上传成功!


某校渗透测试报告


可见上传成功。


某校渗透测试报告


访问可解析。


某校渗透测试报告


测试无内容检查,但上冰蝎和哥斯拉和蚁剑皆上传成功但无法连接,可能依赖问题或者waf拦截问题,但上cmd马没问题。


shiro权限绕过,直接访问没有/;/会要登录 )访问。

http://xxx.edu.cn:8080/;/upload/Register/1_1628669142927.jsp?cmd=whoami


某校渗透测试报告


但很多敏感的命令都给waf拦截,我们目标是拿账号密码登教务系统,于是上大马不需要webshell管理工具连接,大马地址如下:

https://github.com/tennc/webshell/blob/9cbc8d5820cd3a83d50fb4ea6bf1c04fd38bd7be/www-7jyewu-cn/%E9%9D%9E%E5%B8%B8%E7%89%9B%E9%80%BC%E7%9A%84Jsp%E5%A4%A7%E9%A9%AC.jsp
翻数据库配置文件发现密码给加密了,一般得找加密代码反向解密太麻烦。


某校渗透测试报告


于是翻目录发现数据库备份:


某校渗透测试报告


账号密码到手,但拿这些账号密码去撞库不行,故用谷歌找该系统默认密码。


site:xxx.edu.cn 使用指南|工号|学号|系统|vpn|手册|默认密码


发现账号密码都为工号或学生号,还发现了vpn的使用手册,于是vpn登进去打一波内网。


二、VPN进去打内网


通过vpn进内网挖是edusrc收的,但getshell后挂代理是不行的,很多挖证书学校的一般都是vpn进内网挖的。


某校渗透测试报告


连接成功ipconfig看一下我们多了一个网段192.168.65.xx,所以我们已经在内网了。

某校渗透测试报告


直接fscan扫他们学校服务器B段,fscan.exe -h 202.xx.xx.x/16,结果一堆洞。
iis-put-getshell
发包。
PUT /test.txt HTTP/1.1Host: 202.xxxContent-Length: 85@{ var myMessage ="Hello World"; }
The value of myMessage is: @myMessage
访问可见上传上去了。
http://202.xx/test.txt

某校渗透测试报告

mssql弱口令至命令执行。


某校渗透测试报告

frp弱口令等




本文始发于微信公众号(云剑侠心):某校渗透测试报告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: