0x01前言

本次目标是一个医院系统，主要做一下记录。（有些图片不能发，有的忘记截图了emmmm 。

0x02爆破

开局一个登录框

发现没验证码，没次数限制

先爆破，然后得到一个用户名system。

开始我的top10000、top100000，但是没有任何结果 最终决定放弃。

0x03巧了

这是一个医院的系统还有着具体名字，然后标签上还有图标于是想着能不能去找上游，通过开发公司是不是可以找到点什么。于是通过名字和图表搜索到了具体公司，然后通过资产收集工具找到同样的系统。猜测是开发商用来做测试，或者给客户演示的。

再次爆破system用户成功登陆系统。因为是一样的系统甚至名称都是相同的，所以里面有一些测试数据以及用户，然后通过这边的用户名去跑目标系统发现这些用户名都是真实存在的，于是设置密码123456，来撞用户名，终于有几个用户可以成功登陆。

0x04上传

成功登陆系统后直接奔着头像处就去了，发现没有显示路径且无法正常打开，正常图片可以显示，asp后缀无法显示，但是根据返回包可以确定穿上去了。（这里没有截图，只能发挥想象力 右键加载图像显示格式为"?img=.png" 或者"?img=.asp" 。

因为该用户权限过低只能回到开发商测试系统上继续找找看看是否有什么突破。

0x05越权

在查询里发现存在病人信息查询。

数据大概为几千条。在目标系统中由于用户权限过低，没有该功能，于是测试发现存在越权,可以获取病人信息大概五万多条

0x06ueditor

系统功能实在是太多，一个个翻到底最后在一个很隐蔽的功能出发现存在ueditor编辑器，于是乎赶紧测试是否存在上传漏洞，于是一发入魂。

心想这不轻松拿捏

于是赶紧转到目标环境，再来一发。

心里苦

0x07沉淀

测试环境可以搞定 目标环境可以上传asp但是无法找到路径，那咱去测试环境找路径不就搞定了。

已知：1⃣️、头像可以上传asp文件。2⃣️、文件名为system.asp。3⃣️、有shell。解：直接上web目录搜索

好消息：找到了 坏消息：在C盘

搞不了一点

0x08撤退

忙活半天搞了点数据分～。～