点击蓝字 关注我们
01
前言
接公司任务,此系统为一次授权测试
01
正文
既然是授权了,首先确定ip,然后使用nmap扫描端口,发现存在一个web网站,简单扫描下目录发现/Admin/Login.aspx为网站后台目录。
先简单看下网站后台
1.sql注入
单开新闻详情页面,第一直觉感觉NewID存在注入,但是运气不太好,简单测试下发现过滤还是相当全面的
换一个页面,是一个新闻列表,发现此页面存在注入
测试发现输入and 1和 and 0都是错误页面,换成其他的&& 或者 %26都不对,or和xor也是不行的,现在只希望传参是整形的了
事实证名id=3-2返回了和id=1一样的数据
直接在1的位置输入payload就可以比如:
id=104-ascii(substring((DB_NAME()),1,1)),说明第一个字符的ascii值为103
2、弱口令?
账号密码admin/admin进了后台
成功跳转了index,cookie比较可疑!我用的admin登录的。发现U_ID=2,Name=user了
3、未授权访问
直接访问index页面,会有弹窗,登陆已过期。
而且这种弹窗都比较好绕过,修改删除返回包里的js代码即可绕过限制
最终登陆后台页面
但是测试发现不是所有的都存在未授权,这里上传文件发现泄露账号密码等信息,密码为md5形式加密的
但是发现16位的md5丢cmd5里解密不了。这里发现admin的密码md5,和user的密码md5值一样,但是登陆不了,比较奇怪。
4、文件上传之zip
这里上传webshell我没绕过,但是发现可以上传zip文件
这里的文件基本都是zip和rar的,共系统用户下载,而且比如flash是必须装的,不然不能正常访问,那么问题就来了,如果这个上传点可控,我还特么上传什么shell
然后我找到了就是下面这个页面,自建资源。
接下来,我们就可以用msf生成一个exe的反弹shell的木马文件,改个名,压缩一下,免杀的话这里不提,只是思路,如下图flash.zip
成功上传,如图
看看前台效果,如下
本文始发于微信公众号(IDLab):记一次系统的渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论