记一次实战日穿整个系统getshell-共九个漏洞

admin 2025年6月10日02:18:21评论19 views字数 2465阅读8分13秒阅读模式
                              免责声明本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、攻击他人系统或从事任何违法行为的人员参与。如果学员在学习过程中有任何违法行为,本课程及相关机构将不承担任何责任。学员行为与本课程无关:课程内容仅供学术研究与技术提升之用,任何学员的行为与本课程无关,学员需对其行为负责,并承诺仅将所学用于合法的网络安全防护和技术研究。参与本课程即表示您已充分理解并同意以上免责声明。如有任何疑问,欢迎与我们联系。

记一次实战日穿整个系统getshell-共九个漏洞

前置说明

首先在如下url统一身份认证,使用课程中的方法获取到账号密码,这方面并不难,方法有很多。

统一身份认证处:

https://xxxx/portal/main.html

漏洞url:

https://xxxxx/Login/login.html#

漏洞详情

站点一: 虚拟仿真系统

url:

https://xxxx.cn/

1.弱口令

门户登入后点击WEBVPN

记一次实战日穿整个系统getshell-共九个漏洞

点击虚拟仿真实验

记一次实战日穿整个系统getshell-共九个漏洞

验证码存在复用,不影响爆破,进行抓包burp跑出弱口令账密为

test

000000

像这种测试账号,在实战中也是很常见,而且经常拥有admin的高级权限

记一次实战日穿整个系统getshell-共九个漏洞

成功登入系统。

记一次实战日穿整个系统getshell-共九个漏洞

2: sql注入

进入系统后进行抓包测试,发现某个数据包存在order关键词,这种我建议写在自己的hae匹配规则,发现SQL注入关键词自动高亮。

数据包中出现order、orderby等关键词要着重注意测试排序注入,排序注入无法直接被预编译防护,因此出现漏洞概率很高。

漏洞url:

https://xxxxScheme/Ajax/GetTrainingList?paper=1&type=1&rows=10

数据包:

POST /xxxxScheme/Ajax/GetTrainingList?paper=1&type=1&rows=10 HTTP/2

HOST: XXXXX

name=1&start=2025-03-31&end=2025-04-15&order=&ordertype=1&time=undefined&schemetype=t0

丢入sqlmap发现order处存在注入。

记一次实战日穿整个系统getshell-共九个漏洞

3.存储型XSS

点击个人信息

记一次实战日穿整个系统getshell-共九个漏洞

点击编辑

记一次实战日穿整个系统getshell-共九个漏洞

姓名处写入如下payload:

<img src=x onerror="u0061u006cu0065u0072u0074(1)">

成功弹框,打出XSS漏洞。
记一次实战日穿整个系统getshell-共九个漏洞

站点二: 财务管理系统

4.存储型xss

记一次实战日穿整个系统getshell-共九个漏洞

点击账号设置

记一次实战日穿整个系统getshell-共九个漏洞

修改昵称,输入在课程中用到的小小payload:

<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgveHNzLyk8L3NjcmlwdD4="></object>

记一次实战日穿整个系统getshell-共九个漏洞

重新点击账号设置

记一次实战日穿整个系统getshell-共九个漏洞
成功弹框,打出XSS漏洞。
记一次实战日穿整个系统getshell-共九个漏洞

漏洞5: shrio反序列化RCE

漏洞url:

点击如下功能

直接浏览器访问会跳转403,不用管,直接burp拦包获取到cookie即可,为后续工具利用提供方便,毕竟这是一个VPN内部系统,外面工具没法直接访问。

记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞

经过插件+人工查看发现存在shrio特征rememberMe=deleteMe

记一次实战日穿整个系统getshell-共九个漏洞

点击响应复制cookie及其以下header放入放入一把嗦工具中

记一次实战日穿整个系统getshell-共九个漏洞

工具网址:

https://github.com/SummerSec/ShiroAttack2

爆破出shrio秘钥为:

kPH+bIxk5D2deZiIxcaaaA==

记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞

成功执行命令

记一次实战日穿整个系统getshell-共九个漏洞

内网主机能出网,不打了,点到为止。

记一次实战日穿整个系统getshell-共九个漏洞

站点三:互联网+在线实验平台

6.弱口令

统一身份认证后点击互联网+在线实验

记一次实战日穿整个系统getshell-共九个漏洞

弱口令账密如下(斜杠为分隔符),该系统不仅仅admin弱口令,仍然存在测试账号弱口令,扣鸡腿!

admin/admin

test/test

admin登入为管理员权限

记一次实战日穿整个系统getshell-共九个漏洞

test用户只有少量权限,但是也可以正常使用。

记一次实战日穿整个系统getshell-共九个漏洞
登录系统后,进行后续的测试操作。

7.存储型xss

记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞

备注处填入小小的payload:

<img src=x onerror="u0061u006cu0065u0072u0074(1)">

记一次实战日穿整个系统getshell-共九个漏洞
成功弹框,打出XSS漏洞。
记一次实战日穿整个系统getshell-共九个漏洞

8.存储型xss

记一次实战日穿整个系统getshell-共九个漏洞

新建一个组织进行测试

记一次实战日穿整个系统getshell-共九个漏洞

经过测试这两个地方都可以弹,payload为:

<img src=x onerror="u0061u006cu0065u0072u0074(1)">

记一次实战日穿整个系统getshell-共九个漏洞
成功弹框,打出XSS漏洞。
记一次实战日穿整个系统getshell-共九个漏洞

9.存储型xss

添加课程进行测试

记一次实战日穿整个系统getshell-共九个漏洞

payload:

<img src=x onerror="u0061u006cu0065u0072u0074(1)">

记一次实战日穿整个系统getshell-共九个漏洞
成功弹框,打出XSS漏洞。
记一次实战日穿整个系统getshell-共九个漏洞

总结:

像这种内部VPN系统总是有着各种各样的漏洞,尤其是弱口令有很多,不要总盯着admin账号,像test这种测试账号也经常出现。进入系统后,各种sql注入、rce、xss、越权、未授权等漏洞就多了很多。 以上漏洞均已提交漏洞平台进行修复。

感谢各位师傅观看!!祝各位师傅一路长红!!!

           往期内容:

Edu实战记录 | 四个漏洞打包提交

记一次无需Burp也能拿下Edu证书站

记一次拿下全校信息的漏洞+垂直越权

记一次非常严重的全校越权信息泄露

Edu证书站 | 某票据系统JS提取未授权通杀

XSS 如何乱杀企业SRC -公开课视频

SRC第二期公开课!!超全信息收集!不听白不听!

[收费公开课] 前后端分离渗透和三个突破口

Edu双一流证书站 |  github密码泄露导致的越权漏洞

Edu985证书站 |  一次VPN 系统内SQL注入

一次越权信息泄露扩散到全校任意密码修改

Edu证书站嘎嘎乱杀 (三) 全校密码任意修改

Edu证书站嘎嘎乱杀(二)

Edu证书站嘎嘎乱杀(一)

&lt;干货&gt;微信小程序特有通用漏洞&小程序强开F12开发工具&小程序反编译&Accesstoken泄露

技术交流和咨询课程加我微信

记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞
(课程咨询,加群聊,好友扩列均可加我~)

原文始发于微信公众号(猎洞时刻):记一次实战日穿整个系统getshell-共九个漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月10日02:18:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次实战日穿整个系统getshell-共九个漏洞https://cn-sec.com/archives/4151961.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息