记一次某授权站丝滑Getshell思路

信息收集

首先拿到站点先进行访问

可以看到这是一个后台管理平台，通过使用Chrome中的插件看一下此站点使用了什么语言开发的和对方服务器类型为后面的渗透做准备

是一个ASP的站点，服务器类型Windows server，IIS版本7.5

接下来就是对登录接口进行一下登录看看登录逻辑关系

输入用户名会推送第一个请求推测为验证用户名是否存在或者可否登录再或者是用户名的合法性，这个先不管继续看登录接口的返回状态

可以看到是通过sign的状态来进行判断是否登录成功，思路有了尝试绕过进入后台

开始登录绕过

使用burp拦截返回请求包

然后在放包，成功跳转至后台

就简简单单截个图证明一下进到后台了，由于没有拿到认证信息所以没有数据，那么思路清晰点防止被发现为了上传webshell等后渗透操作，直接瞄准用户管理or个人中心模块

未授权密码重置

开始查看密码重置的一个逻辑关系，然后尝试绕过

和登录接口一样会产生第一个请求验证，通过字段可以猜到是去验证原密码是否正确，后面通过放包测试验证了这一个逻辑关系，这里就不过多描述直接步入重点，拦截返回包修改mes字段为true，然后第一层的登录原始密码验证

然后再输入新的密码，点击保存

在请求包中看到一个很神奇的现象，没有发送旧密码，直接发送了新密码

然后咱们放包看一下是否成功

非常的nice，返回success，这里可以自信点的猜测，后台肯定写死admin这个用户，接下来就是验证了，直接使用admin/admin123登录后台

可以看到通知公告这里有了数据，成功登录后台，非常的nice

最后

最后在后台找到一处文件上传，上传文件

简简单单上传个txt，验证一下吧，不做过多的深入了，原则上点到为止！

欢迎关注听风安全，分享更多安全技术~

原文始发于微信公众号（听风安全）：记一次某授权站丝滑Getshell思路