记一次睡梦中某核酸检测系统的渗透测试

0x00 前言

初来乍到，领导直接丢了一手某省的核酸检测系统让我们进行测试，并且说这是一个单系统的攻防演练的，还有分数竞赛，直接拿起锄头开始干。

0x01 信息探测

站点打开，除了几张图片，就是一个登录框，简单画图画一下：

基本就是这个样子，没有其他功能点，抓包看下详情，shiro框架，试了下没有shiro反序列化漏洞，也没有其他功能点，扫目录什么都扫不到，看他其他端口都没有业务，开始陷入了沉思

基本就是这个情况，shiro漏洞不存在，爆破也尝试了，加密很严格，拉取crypto.js调试了好久，JS逆向也没爆破出来，所以又陷入了沉思

看看有没有通用通杀，看了一圈，没有一样的，因为还在打另外一场比较急的攻防演练，就暂时放下了，而且领导也说了，“抽时间看看”。

0x02 睡梦中的突破

叮叮叮……来电话了~

领导：急急慌慌的打来电话，说XX，昨天的那个XX核酸检测信息系统攻击了没？

我：不好搞，我再尝试一下（内心OS，我搞不定……）

（领导口中的“抽时间看看”== 给我冲！！！）

因为到中午了，确实搞别的项目也挺累，趴办公桌上想眯一会，我还在想怎么搞，真的做梦了，在梦中渗透起来了，其实我也忘了具体渗透的什么，但是确实心里有东西。

弱口令：

终于，我醒了，我只记得，我脑袋里记得一个账号密码，在我嘴上说不出来，打开那个系统，输入了一个XXX1，密码：123456.

我草（一种药材）！进去了，行了，直接高危拿下，涉及用户信息20万+条。

考虑了一下，这样也不能交差呀，然后和朋友就说起这个事情，他又机制的把XXX1改成XXX2,成功登录了，然后后面继续遍历，……XXX50. 这样好交差一些。

既然进去了，就多搞点事情吧，能多拿分就多拿分，尝试了所有上传点，和PUT点，全部都没用，都没有shell点，开始测试别的洞。

SQL注入：

使用burp抓包，手工测试，在数据包闭合后，设置延时，生效了，直接扔进sqlmap，去测试其他交互数据点，多处存在SQL注入，一并打包提交。

0121%27and%28select%2B1%29%3E0waitfor%2F%2A%2A%2Fdelay%270%3A0%3A0 0121'and(select+1)>0waitfor/**/delay'0:0:0

Shiro权限绕过：

/;/,此处省略URL……

存在此漏洞，开始写报告，打包提交前线攻防小伙伴。

0x03 总结

有压力就有动力，漏洞竟然是做梦梦出来的，好吧继续努力。

作者Blog：www.adminxe.com

扫码关注我们

UTRA-Sec