首先呢这位小兄弟 你发了有近30多条信息还没弄到CS 麻烦你看见了记得后台回复 刷子的CS 我单独给你发过去
首先呢 开始 SRC呢一般都是盲打 没有任何信息 于是打算用fofa先获取一下信息
第一步先根据目标关键字来获取信息
第二步根据官网主页的根域名在获取一下
然后使用采集工具采集出FOFA获取的数据
然后就是使用oneforall 在获取一波子域名
再把他们整合到一起 然后去除一下重复 就可以得到他们的子域名-IP-URL
然后呢就直接开始手撸WEB打开burp 设置好代理 配置好插件 我一般是用一个信息高亮 一个xss的检测
在手撸的同时呢扫描一下刚才存活的IP地址直接上C段扫描这里我使用的是Goby 注意代理 扫描时请不要使用真实IP地址 发现了一个虚拟机文件读取的漏洞和一个FTP的弱口令
这个时候WEB层遇到了几个非常有意思的页面 我们选择看着与后端交互比较多的应用进行测试 比如OA系统 报刊发布 财务系统 教务系统 等等
可以看到 有几个非常显眼的登录框 然后就
问题不大 因为其实他还有
我们尝试注册一下
可以看到 目标真的是非常的严谨 应该是通过量子纠缠 周红衣的衣服 薛定谔的猫 薛之谦的认真的雪 等一系列手法 判断到了会有人拿这个注册与忘记密码做文章啊 直接就给写死掉了 既然逻辑突破失效了那我们就扫一下目录
使用的是
扫除了不少东西
根据我的点点点分析
我找到了这一根emmm 应该是什么显示 可以看到全部人员的地方还转圈 全部人员下面只有一个全部消息 那我们点进去看看
发现有语法错误并且获取到了真实地址 这对我们后面的测试非常有帮助并且可以表明这一套组件是可以与数据库进行交互的 那么我们继续看其他的组件
这个search.asp一下子我就看见了我觉着肯定是与数据库有交互的
果然啊有一个查询点那我们抓包测试一下
设置单个狙击点
选择默认的SQL注入字典
发现了有规则注入返回状态是200
看一下响应
首先是200的响应
有table标签并且td中是有东西的
而这个500的响应是数据库报错的一些信息
那我们就直接封包放到sqlmap上跑一下
可以看到注入点的权限
目标数据库名称也与业务匹配
SRC挖掘到此结束 并且还有很多XSS 信息泄露 弱口令没有去验证
本次收获 管理员权限sql注入,公共虚拟机文件读取,FTP弱口令
本文始发于微信公众号(默社安全):关于某高校的一次SRC挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论