某天晚上和源哥进行技术交流,期间一起合作对一个站点进行测试,主要就是测试一下能不能出点货。就有了下面的双排渗透测试哈哈哈。
声明:本文仅用于网络安全相关知识分享,仅供学习交流,请严格遵守网络安全相关法律法规。
首先第一步就是做信息收集,掏出fofa、hunter等工具进行收集
随后找到个站点,账密直接填好了,反手就进去了。
进入到里面可以看到如下功能点
可以在资料下载和内部交流那里进行文件上传,没有文件后缀限制
那么可以传一个phpinfo上去看看
发包即可获得文件路径
但是这个文件路径并不完整,经过多次摸索才知道正确位置。
这里上传上去的文件路径为:xxx//xxx.php
但是没办法直接访问,这里找到的思路是该系统肯定有上传过附件或者图片,所以去找存在的图片,就能知道完整的路径。
首先在公文查看处可以查看已发布和未发布的公文,然后选其中一篇点击修改
选择查看附件,跳转到一张图片,从这里可以知道完整的文件路径
这样我们就知道上传的文件在哪里了,再接着访问解析就行
同理,在内部交流处也是一样,他们的接口都是一样的
这样就能证明通过文件上传getshell了,再加上进来时的弱口令。当然就这点小吃是不够的,继续深入!后面进行信息收集时又遇到其他两个系统的未授权访问:
这里有一个添加上报数据表可以传文件,暂时放一下。然后遇到一个要手机号才能登录的站点
也是用字典跑了很久都没跑出来,索性放弃。
然后在进行目录扫描时发现一个1.php文件查看一下,发现是phpinfo
转战去小程序看看有没有搞头
看起来资产并不多,碰碰运气吧
经过测试,如果用自己的手机号会显示未绑定账户,但只要把数据包里的手机号替换一下就会显示发送验证码。
不是哥们,测了好几个也不行,后来发现是属于供应链了…行吧果断放弃。
小程序没得吃,web端又找到一处资产:
发现开放了FTP服务,尝试匿名登录但未果,行吧。搜一下有没有历史漏洞打个nday碰碰运气试试吧
既然有POC那就打打看!
什么玩意啊,我们猜测有可能文件并不在c盘或者厂商已经打补丁了,毕竟四五个月前的洞了。后面我Fuzz了一会也无法显示。
我们又回到刚开始的站点,想着是不是还有什么东西没注意到…?
这个不是ueditor么?注:Ueditor(百度编辑器)是一款由百度推出的在线HTML编辑器。它支持所见即所得的编辑模式,用户可以通过编辑器进行图片、视频等多媒体元素的插入,支持多种富文本编辑功能。我记得.net版本的ue是可以任意文件上传或者打SSRF(服务端请求伪造)的。那就开干!
找到附件上传点,准备好Payload构造数据包并上传
接着就访问文件看看解不解析
成功,后面可以用迅捷PDF编辑器制作一个JavaScript属性的文档写入Payload,再通过此接口上传上去并访问即可再弹一个xss。
成功。后面又找到一个奇怪的接口,也是又弹了一个xss
好家伙,合着一共弹了3个xss。后面继续在DNSlog申请域名看看能不能打SSRF。
有回显,那么就很容易判断出来这里存在SSRF漏洞,可以Ping以下看看DNSlog的请求。
看看DNSlog的请求。
可以看到能正常收到请求。
这样又收获一个SSRF,舒服了。
思路总结:
信息收集、信息收集、信息收集很重要。(和源哥双排很爽!)
成果:
| 漏洞名称 | 数量 | 风险等级 |
| 弱口令 | 1 | 中危 |
| 任意文件上传 | 2 | 高危 |
| 存储型XSS | 3 | 高危 |
| SSRF | 1 | 高危 |
| 敏感信息泄露 | 1 | 低危 |
原文始发于微信公众号(神农Sec):实战 | 记一次双排渗透测试漏洞复盘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论