免责声明本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、攻击他人系统或从事任何违法行为的人员参与。如果学员在学习过程中有任何违法行为,本课程及相关机构将不承担任何责任。学员行为与本课程无关:课程内容仅供学术研究与技术提升之用,任何学员的行为与本课程无关,学员需对其行为负责,并承诺仅将所学用于合法的网络安全防护和技术研究。参与本课程即表示您已充分理解并同意以上免责声明。如有任何疑问,欢迎与我们联系。
前置说明
首先在如下url统一身份认证,使用课程中的方法获取到账号密码,这方面并不难,方法有很多。
统一身份认证处:
https://xxxx/portal/main.html
漏洞url:
https://xxxxx/Login/login.html#
漏洞详情
站点一: 虚拟仿真系统
url:
https://xxxx.cn/
1.弱口令
门户登入后点击WEBVPN
点击虚拟仿真实验
验证码存在复用,不影响爆破,进行抓包burp跑出弱口令账密为
test
000000
像这种测试账号,在实战中也是很常见,而且经常拥有admin的高级权限。
成功登入系统。
2: sql注入
进入系统后进行抓包测试,发现某个数据包存在order关键词,这种我建议写在自己的hae匹配规则,发现SQL注入关键词自动高亮。
数据包中出现order、orderby等关键词要着重注意测试排序注入,排序注入无法直接被预编译防护,因此出现漏洞概率很高。
漏洞url:
https://xxxxScheme/Ajax/GetTrainingList?paper=1&type=1&rows=10
数据包:
POST /xxxxScheme/Ajax/GetTrainingList?paper=1&type=1&rows=10 HTTP/2
HOST: XXXXX
name=1&start=2025-03-31&end=2025-04-15&order=&ordertype=1&time=undefined&schemetype=t0
丢入sqlmap发现order处存在注入。
3.存储型XSS
点击个人信息
点击编辑
姓名处写入如下payload:
|
<img src=x onerror="u0061u006cu0065u0072u0074(1)"> |
站点二: 财务管理系统
4.存储型xss
点击账号设置
修改昵称,输入在课程中用到的小小payload:
|
<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgveHNzLyk8L3NjcmlwdD4="></object> |
漏洞5: shrio反序列化RCE
漏洞url:
点击如下功能
直接浏览器访问会跳转403,不用管,直接burp拦包获取到cookie即可,为后续工具利用提供方便,毕竟这是一个VPN内部系统,外面工具没法直接访问。
经过插件+人工查看发现存在shrio特征rememberMe=deleteMe。
点击响应复制cookie及其以下header放入放入一把嗦工具中
工具网址:
https://github.com/SummerSec/ShiroAttack2
爆破出shrio秘钥为:
kPH+bIxk5D2deZiIxcaaaA==
成功执行命令
内网主机能出网,不打了,点到为止。
站点三:互联网+在线实验平台
6.弱口令
统一身份认证后点击互联网+在线实验
弱口令账密如下(斜杠为分隔符),该系统不仅仅admin弱口令,仍然存在测试账号弱口令,扣鸡腿!
admin/admin
test/test
admin登入为管理员权限
test用户只有少量权限,但是也可以正常使用。
7.存储型xss
备注处填入小小的payload:
|
<img src=x onerror="u0061u006cu0065u0072u0074(1)"> |
8.存储型xss
新建一个组织进行测试
经过测试这两个地方都可以弹,payload为:
|
<img src=x onerror="u0061u006cu0065u0072u0074(1)"> |
9.存储型xss
添加课程进行测试
payload:
|
<img src=x onerror="u0061u006cu0065u0072u0074(1)"> |
总结:
像这种内部VPN系统总是有着各种各样的漏洞,尤其是弱口令有很多,不要总盯着admin账号,像test这种测试账号也经常出现。进入系统后,各种sql注入、rce、xss、越权、未授权等漏洞就多了很多。 以上漏洞均已提交漏洞平台进行修复。
感谢各位师傅观看!!祝各位师傅一路长红!!!
往期内容:
Edu实战记录 | 四个漏洞打包提交
记一次无需Burp也能拿下Edu证书站
记一次拿下全校信息的漏洞+垂直越权
记一次非常严重的全校越权信息泄露
Edu证书站 | 某票据系统JS提取未授权通杀
XSS 如何乱杀企业SRC -公开课视频
SRC第二期公开课!!超全信息收集!不听白不听!
[收费公开课] 前后端分离渗透和三个突破口
Edu双一流证书站 | github密码泄露导致的越权漏洞
Edu985证书站 | 一次VPN 系统内SQL注入
一次越权信息泄露扩散到全校任意密码修改
Edu证书站嘎嘎乱杀 (三) 全校密码任意修改
Edu证书站嘎嘎乱杀(二)
Edu证书站嘎嘎乱杀(一)
<干货>微信小程序特有通用漏洞&小程序强开F12开发工具&小程序反编译&Accesstoken泄露
技术交流和咨询课程加我微信
原文始发于微信公众号(猎洞时刻):记一次实战日穿整个系统getshell-共九个漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论