实战 | 一次简单的信息收集到getshell的过程

前言

申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！

本篇文章是4月份活动的投稿文章
来自M78团队的伊电童姐姐
以下是M78团队的公众号

一次简单的黑盒联动

大佬勿喷 大佬勿喷 大佬勿喷

又是日常挖EDU

发现医学系统 是这样子的 打码一定要打全，就是下图这种

首先看到就一波注入什么的 先整上去 然后这里基本成功不了 我就不截图了

然后弱口令尝试一波 也是无法通过验证

这里试试抓下响应包看看内容看到这种包可能可能可能会有改响应包绕过

将下图false改成true

可以看见出现了一个未定义

多出了一个管理桌面 继续点击进去

果然不出我所料 转完圈就弹回到主界面

然后咋办 试试fofa一波相同网站

找到一处提供账号的同类型网站

找到一个某职业学院 提供了一个专家账号

试着抓专家账号登录成功的POC

感觉这种包有搞头啊

可以发现该账号是可以正常使用的

进入专家后台

试着交几十个低危混rank

结果可想而知 未通过 我淦啊

渗透到此结束

？？？？？？？？？？？？？？？？？？？？？

搞错了 再来.mp3

审核给我的意思是我这个没有管理权限

那是不是我如果找得到管理员的POC 利用该漏洞是否也可以进入管理员桌面呢？

直接开淦

开始摸索该系统

我用该专家的POC去访问其他网站

在其它某网站发现该系统会记录网站登录的日志

尝试找下管理员登录日志

发现一个叫adminqfnu的用户登录的痕迹

好吧 你这用户名我是着实猜不出来 也不是该大学的拼音开头

有了用户名尝试爆破密码

弱口令一波依然是无法验证 感觉GG了

要不尝试下密码也用用户名试试？

我直接离谱

成功登录了

弱口令yyds

这时候我继续抓抓管理员的POC

发现已经可以通杀其他站了

进入桌面看看 有没有后续鉴权

发现可直接进入管理员后台了 这里又可以混一波中危了

继续深入测试下

找到头像管理处

尝试文件上传

正常测试下功能 发现功能点可以使用

尝试下绕过前端验证

抓包改后缀

直接GG 貌似不行啊

就把jsp给限制了 其他脚本文件可正常上传 这里不截图了

尝试下绕过上传

通过大小写不敏感 判断出改系统为windows

尝试下windows特性

加个空格上传试下

上传成功 我是没想到的这么快就解决的

访问下地址康康

冰蝎马起飞了

system权限

人已芜湖 感觉良好

快乐又回来了