某产品0day通用漏洞getshell众多学校 - 低调求发展潜心学安全

admin 2021年12月31日14:55:01评论84 views字数 1117阅读3分43秒阅读模式

写在前面

最近挖的0day,可以getshell众多学校,这里分享下挖掘技巧,过程也是挺奇幻的~

过程

1.首先访问目标站点:http://x.x.x.x/default.aspx

可以看到该页面有个登录框,右上角也有个登录按钮。经过后面的测试发现该页面的登录框登录完只能在前台留言;而右上角的那个登录按钮点击进去是后台登录的地址。
该页面的登录框:

右上角的登录按钮点击跳转的后台:http://x.x.x.x/admin/login.aspx

那么这里我们明显不知道用户账号和相对应的密码,这里必须得开始进一步信息收集了。

2.经过了一些时间的信息收集,我发现访问http://x.x.x.x/admin
发现该路径下存在目录遍历漏洞。

这倒给我的信息收集省下了不少的麻烦。这里直接来找找有没有敏感文件和敏感信息泄露:
最后发现/admin/userfiles目录下存在一些敏感文件,这里下载其中的2018在校生综合信息查询.xls下来进行查看:其中学籍号是这次getshell最为关键的信息,因为根据信息收集发现,登录的用户账号和相对应的密码初始都为学籍号和学籍号

后面经过测试,用了该产品的学校的登录的用户账号和相对应的密码初始都为学籍号和学籍号;不是学校的就是ID号和ID号。

3.然后这里我开始窃喜,以为这里就可以直接进入后台了。可惜,事情并没有我想的这么简单。
这里直接拿其中一个学籍号登录,却弹窗提示我登录失败,用户权限限制,无法登录后台!

这里是因为我的账号是学生权限,权限太低所以无法登录后台。那如果是管理员的权限肯定就可以登录进去了。可是我找遍了刚才目录遍历泄露的敏感文件,经过了大量时间的信息收集,都没有收集到后台管理员的敏感信息。那这里该怎么办?难道就此放弃吗?所以说好运气会眷顾努力的人。在我继续在/admin目录下信息收集时,我偶然间发现了PowerConfig.aspx文件,看意思像是权限配置的文件,我直接点了进去,没想到这里发现了一个未授权访问的页面:
http://x.x.x.x/admin/PowerConfig.aspx

该页面可以给所有用户分配登录权限和应用权限,这里我直接给学生用户分配了允许进入后台的登录权限

4.给学生用户分配后台权限后,访问http://x.x.x.x/admin/login.aspx,以其中一个学籍号登录:登录成功,这里看到了所有用户的信息

5.然后getshell就十分简单了,在其中的下载专区可以上传ashx木马

然后用burpsuite抓包,点击"下载"查看,查看到马的地址:

执行ipconfig

至此,完成本次0day通用漏洞的挖掘。文章中所有通用漏洞均已提交至cnvd并通过。

BY:先知论坛

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月31日14:55:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某产品0day通用漏洞getshell众多学校 - 低调求发展潜心学安全http://cn-sec.com/archives/710126.html

发表评论

匿名网友 填写信息