点击蓝字
关注我们
日期:2022-03-07
作者:Obsidian
介绍:通过信息收集结合某
cms
的历史漏洞,拿下目标网站。
0x00 前言
最近接到了个某水利行业攻防演练的项目,打点过程异常艰难。
而且小区里的自动售水机总是出问题,水质差不说,还时不时的只扣钱不出水。
两两结合,导致心情异常烦躁。
某一天下楼打水,在售水机上看到了官网,正好是攻防演练中的目标,而且是搜索引擎中并没有找到的。
这不巧了吗这不是,天赐良机啊。
立即决定拿它开刀,以泄心头之恨,并且感受到了久违的快乐。
0x01 开整
首先通过楼下售水机的宣传图上,得到了官网:http://wwww.xxxx.com
robots.txt
和 /member/login.asp
。/member/login.asp
,发现是用户登录和注册的页面,并没有发现可利用的点。cms
类型,是Aspcms
。robots.txt
,居然就这么轻易的得到了后台路径?robots.txt
里面的后台,是假的,是404
。基本信息收集完,就开始谷歌一下历史漏洞吧。
这期间尝试了多个注入漏洞以及getshell
的漏洞,均无收获。
但是功夫不负有心人,Aspcms
的曾经版本存在敏感信息泄露漏洞,可通过特定的url访问,直接跳转到后台管理页面。
例如:
访问http://www.xxx.com/plug/oem/Asp_OEMFun.asp
会直接跳转到真正的后台地址。
2014
年的老家伙了。Aspcms
的曾经版本存在越权注册漏洞,可通过构造特定的数据包,直接注册管理员用户。
正好之前找到了注册的页面,构造如下数据包。
0x02 后续
根据历史漏洞,尝试通过备份数据库来getshell
。
这个版本的aspcms
,数据库备份文件格式为asp
┼攠數畣整爠煥敵瑳∨≡┩愾
asp
即可得到webshell
asp
文件时,产生了错误。slidestyle
参数插入一句话木马。0x03 总结
信息收集,真的很重要。
参考链接:
http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0161677
http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-091831
http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0161687
https://blog.51cto.com/846cc/1575039
免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。
宸极实验室隶属山东九州信泰信息科技股份有限公司,致力于网络安全对抗技术研究,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域,善于利用黑客视角发现和解决网络安全问题。
团队自成立以来,圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
对信息安全感兴趣的小伙伴欢迎加入宸极实验室,关注公众号,回复『招聘』,获取联系方式。
原文始发于微信公众号(宸极实验室):『红蓝对抗』记一次攻防演练
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论