接到领导通知,要对某个客户的资产做一次渗透,客户只给了一个C段IP,具体的资产需要自己去收集
通过fofa搜索后,拿到一堆的资产。看了一遍发现客户有个金和的OA系统,于是就有了下面的故事
![记一次项目上的漏洞挖掘]( "记一次项目上的漏洞挖掘")
打开后就是个登录界面,因为在前期信息收集的时候也看到这个OA存在一个用户名的注入漏洞(历史漏洞 金和协同管理平台SQL注入漏洞(无需登录demo站成功复现) | wooyun-2015-0141624| WooYun.org),这个洞虽然比较老了,但也可以试一下。按照这个保姆级教程抓包测试
结果可想而知
![记一次项目上的漏洞挖掘]( "记一次项目上的漏洞挖掘")
于是回到最开始的登录界面,输入admin/123456 返回用户名/密码错误,百度到这个金和OA的默认用户密码是000000 ,所以到这里直接就上爆破了。我爆破的是用户名密码固定,在爆破结果中发下唯独用户名为数字是返回的数据包长度不同,看详情发现报错提示和原来的也不一致,提示为户名/密码错误用户剩余登录次数为4(第一次爆破忘记截图了),所以判断用户名有可能为纯数字,所以接下来就使用了1-100为用户名进行第二次爆破尝试。果然不出所料
![记一次项目上的漏洞挖掘]( "记一次项目上的漏洞挖掘")
直接登录成功
![记一次项目上的漏洞挖掘]( "记一次项目上的漏洞挖掘")
登录进去后找到几处文件上传的地方,发现是白名单过滤,时间也不太够就选择放弃了。在后台逛街过程中,在个人信息的位置抓包发现有传参,所以对参数进行下一步测试,
![记一次项目上的漏洞挖掘]( "记一次项目上的漏洞挖掘")
直接发送到Repeater模块,发现修改userID可以查看别的用户的档案信息,以及职务手机号。一个越权就到手了
![记一次项目上的漏洞挖掘]( "记一次项目上的漏洞挖掘")
![记一次项目上的漏洞挖掘]( "记一次项目上的漏洞挖掘")
由于时间关系,测试到这就结束了(有高危就行)
作者:Workers77
原文链接:https://blog.csdn.net/Workers77/article/details/122933660
原文始发于微信公众号(天驿安全):记一次项目上的漏洞挖掘
评论