记录一次cnvd挖掘过程 – 作者:合天智汇

曾经的我,以为挖掘cnvd是一个非常遥不可及的事情,注册资产5000万黑盒10案例(目前还不会代码审计吖,后续会努力学习吖!)这个门槛就已经难住我了(脚本小子的自述)。

本文涉及相关实验:利用sqlmap辅助手工注入(本实验主要介绍了利用sqlmap辅助手工注入,通过本实验的学习,你能够了解sqlmap,掌握sqlmap的常用命令,学会使用sqlmap辅助手工完成注入。)

事情的转机在于某次挖掘edu的过程中,且漏洞都非常小白,无任何技术含量,师傅们看个热闹就好了,在校学生只想赚点生活费。呜呜呜呜~

主页界面常规漏洞测试一波,如弱口令,以及登陆框注入,均无果,发现还存在一处密码找回功能。

headImg.action?news=d519d78a-bc8c-4cbf-9714-cb6ef9c05e0a.png

找回密码界面。

headImg.action?news=dc0f4a83-cbe9-4d6c-b08d-f6bd55a4afda.png

每个参数挨个测试一下最简单的注入加一个单引号’ 当然也仅仅限于为我这种偷懒型选手了,对于int型注入点如果做了报错处理可能无法探测,各位师傅们挖洞的时候不要学我一样偷懒哦。

运气果然很重要啊,阿巴阿巴,直接出货,且目标不存在waf直接上sqlmap跑了

headImg.action?news=35a58ceb-b6de-48fe-90af-5ef76a996ef5.pngheadImg.action?news=f041753b-d580-42ab-aaf5-2910eb2dd63e.pngheadImg.action?news=ed6e8c96-e581-4006-93fd-9ae14255d381.png

Dba权限sqlserver数据库,直接起飞,难得找绝对路径写shell了直接os-shell 成功获取权限,而且可回显。headImg.action?news=7a4bbab8-b84b-4189-a287-914d5cf1298e.png

通过企查查查询了一下开发单位,发现资产过5000万,接下来只要案例满足10例就可了,fofa查询相关关键字,收集一波站点。

headImg.action?news=321c93a5-afc9-4167-9fe5-439d20d6fe4f.png

headImg.action?news=b3d689b3-3364-4cdf-aa01-1f117755acd2.png还算不错,阿巴阿巴,整理整理继续肝,一个良好的开端从有洞开始,headImg.action?news=625f1ede-0c3d-4994-8fae-39abd6e0c6a1.png

于是想着写一波脚本,批量跑一下admin账户的弱口令,这么多站点,我不相信没有一个弱口令,大概看了几个站点,发现一模一样的站,于是直接在某个站点本地F12 看他登陆请求包,然后写脚本,批量跑一下headImg.action?news=48b6ad9d-4213-4356-b9e9-9cbc7bdf7347.png

headImg.action?news=643f92b2-f5fc-4e82-8c9a-161a07d4e7f5.png

又尝试了另一种方式,感谢fengxsone老表给我说的这个selenium自动化测试模块,阿巴阿巴,顺便拿来练练手,这里简单介绍一下呀,百度无所不能。

headImg.action?news=78820a43-4c51-4387-aeae-293e48406582.png

通过pip install selenium 或者在pycharm中搜索安装模块即可

headImg.action?news=9c7f191b-6acc-4ef4-a308-6a6f4c007843.png

这个模块呢,非常非常简单哈,安装完成之后,需要下载对应浏览器对应版本的驱动,之后就可以愉快的玩耍了,有兴趣的师傅,记得看开发手册吖,我觉得我讲的太low还是打扰了

headImg.action?news=4754bf75-e8be-48ee-a98c-df7ea6b4d742.png

Run一下之后就是一个慢慢等待的过程咯

headImg.action?news=da75f6f1-432e-4556-81b6-ad6f8dd8525d.png

大约跑了20几个站点之后,成功使用admin—123456进入后台。我的脚本也gg了,没有写跳转的操作,我菜,阿巴阿巴

headImg.action?news=a6e9d36b-8dd1-45d7-9fd4-27d4fb1560b7.png

进入后台后,一通操作,找到一处上传点,but上传到的路径居然传到一台文件服务器上面去了,虽然能拿到一个文件服务器的shell,但是估计其他站的文件也是传在这个服务器上面,溜了溜了。headImg.action?news=5b0a1693-d69c-44c2-94a5-4b5647afb805.png

继续fuzz,注销登陆,之后重新登录同时使用burp抓包,单独拉出来放包,请叫我打码小王子。headImg.action?news=8bfe3a50-4fe4-43fc-ae35-2a9c20dedbdb.png

发现并未存在session或者token参数。于是直接到其他站点,随意输入账户密码,替换返回包。直接越权到admin账户。

headImg.action?news=79eb5eac-d892-42ca-8881-fccdc18387d6.png

接着fuzz,该测的测了,但在密码重置处倒是有点东东,证只要输入存在的账户,手机号输入自己的即可将验证码发送到自己的手机

headImg.action?news=6fab8550-1a26-4940-a7a3-cab3d196489d.png

所以说这里我们只需要获取到可登陆的证即可用自己的手机号接受到验证码,于是登陆,后台,在用户管理界面抓包。之后就是慢慢删除cookie的过程了,这里推荐一下burp的这个功能,贼好用

headImg.action?news=b30b6f3e-b5e9-465c-9650-f46577597083.png

headImg.action?news=a38181d9-3f12-43c1-aa1e-da3740b9be74.png

在这个功能模块中,可以快速的fuzz cookie简直不要太舒服,最后发现只需要一个schoolcon参数,即可未授权访问,而且schoocan参数在加载页面时就已经有了

headImg.action?news=a2634caa-5dbe-4ee6-b834-f969aa603ece.png

headImg.action?news=319ab551-3748-4c72-8152-8401e37810e2.png

整理开交,阿巴阿巴。

假装一段时间后~~证书下来了,嚯嚯,起飞。

headImg.action?news=eb2ff37d-6358-4b45-8704-2c145fb55124.png

阿巴阿巴,太没有技术含量了,各位师傅们见谅,才入门还要学习的东西太多了,有想要一起学习互相监督滴嘛?我的qq807483402 另外 欢迎大家关注微信公众号F12sec啦我们是一群有梦想的网络安全爱好者哟,阿巴阿巴。

声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。

来源:freebuf.com 2021-06-08 16:51:53 by: 合天智汇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论