声明:本次渗透测试有合法授权,相关数据已脱敏处理
今天分享一下我在实战中失败的打点案例,供各位师傅学习参考,同时也是对我学习成长的一个记录。
1.phpmyadmin版本为4.6.6
在对主站进行扫描的过程中发现sql的备份文件,里面存有40个user和password,同时,收集到主站存在phpmyadmin和一些登录框,由于sql文件中的密码解不开,只能拿用户名去尝试爆破密码,这里我拿通用性强的phpmyadmin举例。
查看phpmyadmin的版本,在后缀中输入doc/html/index.html即可查看版本,然后在网上搜nday,这个版本是没有洞的。
将收集到的用户名去尝试,没有成功,且禁止空密码(有些phpmyamdin没有禁用空密码,遇到可以先尝试一下)
这里可以使用工具来进行爆破,但是没有尝试成功。
以上掌握的信息为:
-
用户名和用户名邮箱
-
phpmyamdin版本号
-
phpmyadmin未开启空密码登录
综上可知,在phpmyadmin版本为4.6.6且未开启空密码的前提下,将收集到的用户名尝试过后没有成功后,可以暂时先放弃这个点位。
2.文件上传白名单或上传后文件名强制改为时间戳+固定后缀名
如何判断白名单或黑名单?
使用随机后缀的文件进行上传,如果成功为黑名单,反之为白名单,白名单可以尝试%00截断和解析漏洞那些(实战中几乎遇不到)
上传后文件暂时放在临时目前且文件名修改为时间戳+固定后缀名
文件在上传后,函数move_uploaded_file(xxx,时间.xx格式)会将上传文件强制改为以上格式,此类情况可以通过返回包中的信息来判断,如为以上情况可以直接pass。
文件上传需要注意的点:
-
首先上传正常文件,检测功能是否正常。
-
判断上传文件有没有落地,有些文件会放在一个临时目录,其实并没有落地。
-
有无回显,有回显是否能访问。
3.海康威视文件上传
这是最近才出的一个洞
影响范围:
海康威视综合安防系统iVMS-5000
海康威视综合安防系统 iVMS-8700
POST /eps/api/resourceOperations/upload?token=luandadluandad
今天遇到一个,不过已经修了, 师傅们以后看到了可以留意一下。
以上都是本人从实战中总结的经验,可能现在还不成熟,就当写着玩啦,如有纰漏,还请各位师傅们斧正。
原文始发于微信公众号(Network security随笔):实战:一些失败的打点案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论