记一次相对完整的渗透测试 – 作者:合天智汇

教育src 700rank了想着继续冲一波分,早日上核心,于是就有了下面这一次渗透测试的过程了。

开局一个登陆框,且存在密码找回功能。

headImg.action?news=78d5de5e-f432-486a-996b-052a39b8120b.png

归属为某教育局

headImg.action?news=576bfcae-eb50-4e67-9f14-0475e7b34e6a.png

开启burp 抓取登陆包,发现用户密码并未加密 ,尝试爆破admin账户密码 跑了一下发现报如下错误,看来爆破这条路走不通了。

headImg.action?news=4970da7d-5c30-4439-93ec-994fd34c9e07.png

于是fofq查询了一下ip,无旁站。继续肝下一个功能点,密码找回

1618989653_607fd255b76e7d384b903.png!small

密码找回处

headImg.action?news=1f251b1f-daa2-4f07-884d-18f01c9077cd.png

可以看出这里肯定是会存在数据交互的,于是加个单引号测试一下sql,返回500

headImg.action?news=4dd2ec7a-80c6-43c4-add0-65d6a75974e1.png

两个单引号,返回正常,可以断定这里是肯定存在sql注入了,抓取包丢进sqlmap中跑一下。

headImg.action?news=d1c51950-95db-4578-8d93-ff14842a1c11.png

得出如下payload

sqlmap resumed the following injection point(s) from stored session:

---

Parameter: #1* ((custom) POST)

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: login_name=admin' AND 5698=5698 AND 'yKnB'='yKnB

Vector: AND [INFERENCE]

Type: time-based blind

Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

Payload: login_name=admin' AND (SELECT 3409 FROM (SELECT(SLEEP(5)))iWYb) AND 'ZAHe'='ZAHe

Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])

报错与延时注入,对于接下来的渗透意义不大,继续fuzz,尝试按照正常逻辑找回密码。

抓取返回包可以很明显的看到其中存在success参数其值为false,我们将其改为true,

headImg.action?news=8797a400-e523-4fcc-a58a-f9e517a4fd54.png

页面显示如下,flag参数不为空,这是玩ctf呢,再次重放找回密码请求。

headImg.action?news=a95e56f7-4df4-403b-97fb-03fd8f4cb795.png

发现,flag的值应该是在这设定哦,but并不知晓flag的值,无从下手手

headImg.action?news=5eaf0e13-0ed2-472c-9e6b-85c8d7c43ff0.png

行吧转换思路,既然admin账户没有设置手机号,那我去跑一下账户,总有设置手机的账户,flag出现了,现在目前不知道有何作用。转手测试有手机号的账户。

headImg.action?news=0609182c-6ffa-443a-b616-38b2e8e8cab7.png

随意输入验证码,点击下一步,大概是明白了,这个flag就相当于身份id。

headImg.action?news=98939f8e-d81a-48e7-a58f-25a8268aa8a6.png

我们继续抓取返回包,改success 参数为true,成功到达重置密码界面

headImg.action?news=c9de0e72-9450-439c-a9f4-e7b91501355f.png

设置了一下新密码,之后使用burp抓包,发现存在两个参数flag 与pwd flag参数之前在跑用户名的时候我们就已经获取到了,所以这里我单独拉出来,复制之前的flag。

headImg.action?news=dcdcdc35-ecaf-4e9c-b82b-1a87a8c3eaa8.png

Send,返回结果为true表示成功更改

headImg.action?news=db3be1f5-24f8-40cd-ba70-f3c54503a6ee.png

成功登陆

headImg.action?news=aaccf8cf-3bd2-48f5-8920-075264eca7a7.png

既然成功登陆之后,就开始找上传点了

headImg.action?news=92fd4953-d4d0-4cc3-8037-9af89a9fa531.png

Java站那就是jsp与jspx了,经过一番fuzz找到一处相册管理

headImg.action?news=9105c46a-1fa8-4c63-a656-239ece72a803.png

先上传了一张图片,获取到了上传路径。

headImg.action?news=fad4b4f4-8ce6-44a7-a26e-917288fdfc8d.png

接着在构造jsp小马尝试上传,目标存在waf jsp无法上传,我是一点都不意外啊。

1618989753_607fd2b9edbca6a6d5b6a.png!small

看了看poc中可疑的参数点,这不就是我们需要的文件路径,以及文件名吗,我们可以尝试在此处更改文件后缀。

headImg.action?news=1ddfe6d8-084e-4611-9560-66c6dd5a2942.png

证实了猜想。

headImg.action?news=fd16aa54-0d6c-4233-810b-ea2cd12434fa.png

于是继续构造poc,成功上传,拼接之前得到的url,尝试访问

headImg.action?news=282b60b5-47fd-49fd-89f7-b9c58e2fc1ff.png

发现直接打印了,看来是不解析。

headImg.action?news=8a782c8e-e72d-4345-8ed0-61bc00fd3a95.png

可以很明显的看到这里是目录结构,所以尝试删除部分目录,重新上传

headImg.action?news=76fc4a6c-f69b-4619-a3c7-d5b10b94e00f.png

例如

headImg.action?news=fe9d300b-bbea-453f-9bac-5be247ec16cb.png

发现成功跳过目录

headImg.action?news=752ab1b8-4f26-4922-93a3-e599b33e18bb.png

headImg.action?news=f2bb6ed1-061e-41f1-9e1e-23151547b9d4.png继续访问发现还是直接打印了,不慢慢fuzz跳目录了,我直接跳到他根目录下面。

headImg.action?news=b47229fb-6133-4393-8042-1a041c2ba85c.png

分析一下、这是最开始上传到的目录并不解析,我们可以看到其中有四层目录

headImg.action?news=ce3f054d-022f-48cc-a0dc-d152f2d68152.png

删除其中如下两层目录后,还剩下

headImg.action?news=1e4f9a9b-4d92-4cac-be46-be11f893baa8.png

headImg.action?news=75e05aae-01db-44c1-8885-bef9a0620d5a.png这两层目录所以用 ../../来跳过这两层目录。

结合之前的路径,拼接访问。

headImg.action?news=fed10000-7743-4ea6-aaec-fa85bbe6195e.png

headImg.action?news=f0385df8-4c3a-432d-b72a-31011d3af5d1.png

未授权,点到为止,打包提交

headImg.action?news=2bdaba28-552d-4ba4-bdf1-8b8bfe970715.png

带带我代码审计可好,好哥哥们。

本文涉及相关实验:SQL注入https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015060916565800001&pk_campaign=freebuf-wemedia(本实验以PHP和mysql为环境,简单展示了SQL的发生原理和利用过程,通过显错注入和盲注的对比,更直观展现注入的不同利用方法。)

来源:freebuf.com 2021-04-19 17:00:29 by: 合天智汇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论