前言
在一次测试项目中,客户提出需求要对合作运营的资产进行渗透测试,由此展开了我们的此次测试,由于没有客户的授权,测试仅进行到拿到shell,后续未继续进行。
正文
测试目标:www.xxx.com
访问目标站点,首先就是一个平平无奇的前端伪静态页面:
一般看到这种静态页面。仅能看看文章,几乎没有什么功能点,很难发现漏洞,不过很幸运,有一个前台登陆入口。使用渗透的终极奥义admin admin 尝试登陆:
提示用户名admin不合法,看来是禁用了admin账户,终极奥义也无法攻破,那只能上字典强攻了:
我们得到了一个root用户,继续爆破密码
真是surprise,可惜此账号并非我们想象中超级VIP用户,只是一个普通的用户。
我们抓包测试下是否有越权漏洞(尝试看看能不能将root账号为admin),想到之前的admin禁用,尝试修改密码,将用户改为admin账号,cookie里有ID生成为MD5尝试解密看看代表什么:
解密无果,那只能降明文参数值修改为1进行测试了:
无果。。。
DedCMS漏洞
那尝试根据之前在数据包中泄露的DedCMS进行测试
该CMS存在能getshell漏洞,我们先测试是否修复:
先注册一个0000001的账号:
访问个人中心:
http://xxx.com/member/index.php?uid=0000001
查看cookie
把DedeUserID改成自己的账户名,0000001
把DedeUserID__ckMd5改成last_vid__ckMd5的值
修改完毕,访问:http://xxx.com/member/
早安,princess!
该CMS修改前台密码后台密码也会变,那一下子我们就有很大的操作空间了啊,把超级管理员改成自己的密码,接下来后台拿shell, 一套梭哈:
御剑爆一波后台
没有爆破出来,我陷入了沉思。
只能换其他下手点了,我们使用fofa对该ip来一波信息收集:
码打的有点严重,各位大佬见谅。我们进入该站点,自动跳转后台:
http://abc.com/mlsadmin
处处峰回路转,时时柳暗花明。我们尝试使用该地址对目标站点访问:
http://xxx.com/mlsadmin
此刻只想说fofa牛批,搞不定的找我家fofa大哥准没错。
后续就不发出来了,大致上是这样的:进入后台->文件管理器->新建文件->一句话->, 蚁剑搞定。
总结
在我们测试到越权漏洞之时,其实再思考的仔细一点我们便可以直接发现这个CMS漏洞,直接注册一个用户名为0000001的用户,它MD5值得到的便是admin用户的USERID值,再测试中可多留意某些cookie之间的联系,那我们可能就更容易找到一些突破点,当然,最重要的还是信息收集,更全面的信息也代表了更多的入口。
原文始发于微信公众号(Aizero安全团队):记一次授权测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论