前言:虽然我知道我这个标题有点凡尔赛的味道,我只是想打打自己学校练个手的,谁知道清北送上门来了,哈哈哈哈哈
(本期技术含量一般,主要是思路以及运气好一点)
01
1 前言
主站如下:
02
渗透过程
1 信息收集
拿到主站,老思路,一顿狂扫,没啥好说的,我直接把图贴下面
100多个域名,我直呼好家伙
---------------我是分割线----------------------------------------
看了一手源代码,老朋友了,wp的框架的,直接wp-admin一手,无权限,牛的,扫了一下目录,大部分配置文件都拒绝访问,唯一一个能访问的就是wp-json,不过刷完了屁用都没有,直接上了wpscan
筛选了一大堆,不能用的例如后台任意密码重置,留言区xss等,都用不了,然后能用的伤害性都不大,要么就是没有复现的教程,所以主站这方面我就放弃了(事实上我跟主站死磕了半个月,像个沙口一样)
2 子域名
主站不行还有一大堆子域名,俗话说得好,世上无难事,只要肯放弃,放弃主站直接打子域名
筛选了将近10多个子域名,挑了个软柿子
这界面,这文章,像不像几年前漏洞百出的网站,就搞他了
这命名,这路径,我怎么感觉已经被大神干碎了
既然这文件命名是这样的,那这个网站必存在上传点,没有上传点我吃屎好吧
可以看到这有一个在线投稿,这里面估计有附件,点进去看看
---------------------------我是分割线-------------------------------
先上传一个1.php试试
有狗!不过还好,这个比较好绕过,直接利用00截断上传
文件名 zac.php%00.zip,不知道原理的大伙自行百度,这个绕过方法很常见了,不在赘述,上传成功
不过这里我要说一句,我在学校上传的时候,第二天就死活上不去,直到周末回家再次上传,发现又可以了,所以管理员估计设置的是根据ip封禁(也有可能安全狗自动封的,但我没用过防护类的,改天学一下)
上传之后,找路径就格外的困难
我先直接url/zac.php试了试,发现报错并返回了绝对路径
又看了一下burp的回显路径
利用御剑等工具,疯狂的扫,然后这么搞了三天(学校管得严,每天就一个小时能用电脑)发现不行,要么就是后端重命名,要么就是我是nt,所以休息了一天
整理思路发现,上传的稿件应该会发布在新闻列表中,那么我直接查新闻稿子的路径是不是就是可以了?
然后发现了upfile.cuepa.cn
后来经过部分手段,成功上传shell,并且自带回显
拿到路径咋办?连啊!
直接拿蚁剑一连,成功拿到shell
然后就是查询里面都有些啥,好巧不巧,清华北大也在其中,直接顺手一提交(你看,我说了标题是事实吧)
很可惜,就提交了三个,本来还能再刷点漏洞的,谁知道他修的实在太快了
宣传页:
ZAC扫描器github地址:https://github.com/ZACSFR99/ZACscan.git
ZAC文库:https://zac993046.gitbook.io/zac/
个人微信:shenfenxinxichaxun99
粉丝群:加我微信我拉你进群
一如既往的学习,一如既往的整理,一如即往的分享。感谢支持
“如侵权请私聊公众号删文”
关注LemonSec
觉得不错点个“赞”、“在看”哦
本文始发于微信公众号(LemonSec):意外拿下清华北大
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论