免责声明
本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。
严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、攻击他人系统或从事任何违法行为的人员参与。如果学员在学习过程中有任何违法行为,本课程及相关机构将不承担任何责任。
学员行为与本课程无关:课程内容仅供学术研究与技术提升之用,任何学员的行为与本课程无关,学员需对其行为负责,并承诺仅将所学用于合法的网络安全防护和技术研究。
参与本课程即表示您已充分理解并同意以上免责声明。如有任何疑问,欢迎与我们联系。
前置说明
首先在如下url统一身份认证,使用课程中的方法获取到账号密码,这方面并不难,方法有很多。
统一身份认证处:
https://xxxx/portal/main.html
漏洞url:
https://xxxxx/Login/login.html#
漏洞详情
站点一: 虚拟仿真系统
url:
https://xxxx.cn/
1.弱口令
门户登入后点击WEBVPN
点击虚拟仿真实验
验证码存在复用,不影响爆破,进行抓包burp跑出弱口令账密为
test
000000
像这种测试账号,在实战中也是很常见,而且经常拥有admin的高级权限。
成功登入系统。
2: sql注入
进入系统后进行抓包测试,发现某个数据包存在order关键词,这种我建议写在自己的hae匹配规则,发现SQL注入关键词自动高亮。
数据包中出现order、orderby等关键词要着重注意测试排序注入,排序注入无法直接被预编译防护,因此出现漏洞概率很高。
漏洞url:
https://xxxxScheme/Ajax/GetTrainingList?paper=1&type=1&rows=10
数据包:
POST /xxxxScheme/Ajax/GetTrainingList?paper=1&type=1&rows=10 HTTP/2
HOST: XXXXX
name=1&start=2025-03-31&end=2025-04-15&order=&ordertype=1&time=undefined&schemetype=t0
丢入sqlmap发现order处存在注入。
3.存储型XSS
点击个人信息
点击编辑
姓名处写入如下payload:
<img src=x onerror="u0061u006cu0065u0072u0074(1)"> |
站点二: 财务管理系统
4.存储型xss
点击账号设置
修改昵称,输入在课程中用到的小小payload:
<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgveHNzLyk8L3NjcmlwdD4="></object> |
漏洞5: shrio反序列化RCE
漏洞url:
点击如下功能
直接浏览器访问会跳转403,不用管,直接burp拦包获取到cookie即可,为后续工具利用提供方便,毕竟这是一个VPN内部系统,外面工具没法直接访问。
经过插件+人工查看发现存在shrio特征rememberMe=deleteMe。
点击响应复制cookie及其以下header放入放入一把嗦工具中
工具网址:
https://github.com/SummerSec/ShiroAttack2
爆破出shrio秘钥为:
kPH+bIxk5D2deZiIxcaaaA==
成功执行命令
内网主机能出网,不打了,点到为止。
站点三:互联网+在线实验平台
6.弱口令
统一身份认证后点击互联网+在线实验
弱口令账密如下(斜杠为分隔符),该系统不仅仅admin弱口令,仍然存在测试账号弱口令,扣鸡腿!
admin/admin
test/test
admin登入为管理员权限
test用户只有少量权限,但是也可以正常使用。
7.存储型xss
备注处填入小小的payload:
<img src=x onerror="u0061u006cu0065u0072u0074(1)"> |
8.存储型xss
新建一个组织进行测试
经过测试这两个地方都可以弹,payload为:
<img src=x onerror="u0061u006cu0065u0072u0074(1)"> |
9.存储型xss
添加课程进行测试
payload:
<img src=x onerror="u0061u006cu0065u0072u0074(1)"> |
总结:
像这种内部VPN系统总是有着各种各样的漏洞,尤其是弱口令有很多,不要总盯着admin账号,像test这种测试账号也经常出现。进入系统后,各种sql注入、rce、xss、越权、未授权等漏洞就多了很多。 以上漏洞均已提交漏洞平台进行修复。
感谢各位师傅观看!!祝各位师傅一路长红!!!
往期内容:
Edu实战记录 | 四个漏洞打包提交
记一次无需Burp也能拿下Edu证书站
记一次拿下全校信息的漏洞+垂直越权
记一次非常严重的全校越权信息泄露
Edu证书站 | 某票据系统JS提取未授权通杀
XSS 如何乱杀企业SRC -公开课视频
SRC第二期公开课!!超全信息收集!不听白不听!
[收费公开课] 前后端分离渗透和三个突破口
Edu双一流证书站 | github密码泄露导致的越权漏洞
Edu985证书站 | 一次VPN 系统内SQL注入
一次越权信息泄露扩散到全校任意密码修改
Edu证书站嘎嘎乱杀 (三) 全校密码任意修改
Edu证书站嘎嘎乱杀(二)
Edu证书站嘎嘎乱杀(一)
<干货>微信小程序特有通用漏洞&小程序强开F12开发工具&小程序反编译&Accesstoken泄露
技术交流和咨询课程加我微信
原文始发于微信公众号(猎洞时刻):记一次实战日穿整个系统getshell-共九个漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论