作者:微笑代码狗
首先,渗透的本质是信息收集,这一点要搞清楚。你信息收集的范围越大,那么你的攻击面也就越广,挖到洞的几率也会更大。
这里正常的信息收集到了某个高校的系统:
然后就是正常的思路,爆破弱口令试一下,发现太多次爆破会IP冻结。然后试着找一些有没有接口泄露啥的,最后什么也没有。于是去收集了下该学校的学号。(系统手册下载有个提示默认密码是000000)。于是乎,信息收集的过程就不放了,直接进学生端后台。
进来之后,学生端的系统并没有太多的功能点,按照我正常思路就是找文件上传进行getshell(擒贼先擒王),然后里面没有上传的点,于是就寻找下SQL注入漏洞。然后在用户中心首页的实验处发现一个注入。直接抓包放到重发模块进行测试:
SQL注入漏洞位于id参数,但是有waf过滤:
这里这个waf为:360webscan waf,网上很多人已经FUZZ过了这里我就不用字典fuzz做无用功了。这里直接查询当前的数据库名:
报错注入得到当前的数据库名
1'and/**/extractvalue(1,concat(char(126),database()))and'
这个是学生端的后台,在前台首页的右上角有个后台登录,于是乎,我直接查询数据库里面的admin账号的密码,直接管理员后台。(这里因为太敏感了,就跳过直接进后台了)
然后进来还是寻找文件上传的点,然后找到了三个可以上传文件(上传点为同一接口)。以为也会有waf拦截或者白名单验证,结果是我想多了。直接抓包改后缀即可。
然后在前台找了下路径,拿下了服务器system权限。
然后里面还有几处SQL注入,绕过方法跟上面是一样的,这里就不展示了,最后也是恰了一波分。
原文始发于微信公众号(WK安全):授权投稿|从漏洞到绕过再到拿下证书
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论