授权投稿|从漏洞到绕过再到拿下证书

作者：微笑代码狗

首先，渗透的本质是信息收集，这一点要搞清楚。你信息收集的范围越大，那么你的攻击面也就越广，挖到洞的几率也会更大。

这里正常的信息收集到了某个高校的系统：

然后就是正常的思路，爆破弱口令试一下，发现太多次爆破会IP冻结。然后试着找一些有没有接口泄露啥的，最后什么也没有。于是去收集了下该学校的学号。（系统手册下载有个提示默认密码是000000）。于是乎，信息收集的过程就不放了，直接进学生端后台。

进来之后，学生端的系统并没有太多的功能点，按照我正常思路就是找文件上传进行getshell（擒贼先擒王），然后里面没有上传的点，于是就寻找下SQL注入漏洞。然后在用户中心首页的实验处发现一个注入。直接抓包放到重发模块进行测试：

SQL注入漏洞位于id参数，但是有waf过滤：

这里这个waf为：360webscan waf，网上很多人已经FUZZ过了这里我就不用字典fuzz做无用功了。这里直接查询当前的数据库名：

报错注入得到当前的数据库名

1'and/**/extractvalue(1,concat(char(126),database()))and'

这个是学生端的后台，在前台首页的右上角有个后台登录，于是乎，我直接查询数据库里面的admin账号的密码，直接管理员后台。（这里因为太敏感了，就跳过直接进后台了）

然后进来还是寻找文件上传的点，然后找到了三个可以上传文件（上传点为同一接口）。以为也会有waf拦截或者白名单验证，结果是我想多了。直接抓包改后缀即可。

然后在前台找了下路径，拿下了服务器system权限。

然后里面还有几处SQL注入，绕过方法跟上面是一样的，这里就不展示了，最后也是恰了一波分。

原文始发于微信公众号（WK安全）：授权投稿|从漏洞到绕过再到拿下证书