注意:我所渗透的站是已授权的,因放图会泄露站点隐私就不放图了
第一个站
授权-商城测试站 查看>
测试对象:某商场
对方站点配置环境:centos+mysql+php+apache+thinkphp+cms未知+宝塔建站 +cdn
子域名:无
1.通过主动收集和被动收集了解网站架构。
2.通过测试发现为b/s架构无子域名发现。
3.通过路由追踪,超级ping,python脚本、dns解析均找不到网站真实IP 。
4.通过/robots.txt发现根目录下有/manage。访问发现是后台管理地址,后台登录表单有账号密码验证码及token令牌认证。token可通过burpsuite返回包进行抓取,但验证码为后端服务器校验,无漏洞可利用。尝试表单注入发现并无注入点。后台暂时放一放。
5.测试前端注册、登录、找回模块。发现注册模块服务器验证码不会刷新存在重放攻击,可恶意消耗短信发送次数。登录页面无可用漏洞。找回密码存在逻辑漏洞,可根据输入账号判断账号是否注册,从而发生注册用户泄露。商城应用模块无可利用漏洞,头像上传做了白名单限制,路径不可控、上传文件名将重新命名,无法绕过,通过brupsuite–spider模块寻找动态参数进行手工及sqlmap结合探测发现无注入。通过留言、搜索、添加收货地址等表单进行xss闭合,发现收货地址存在存储型xss。利用xss获取后台地址及cookie做cookie欺骗发现无法欺骗,根据分析可能存在httponly限制。无法登录。
6.通过awvs进行全站扫描无高危漏洞。
7.基于黑盒测试,只能通过之前发现的xss做url重定向。通过xss写入跳转url,通过kali-linux下的setoolkit制作后台网站配合ngrok形成内网穿透。记录对方账号密码并成功登录到后台。
8.通过后台管理员组头像上传直接提升权限拿到webshell。
9.查看服务器内核版本发现存在脏牛提权。通过nc反弹获取交互式shell。本地编译上传至tmp目录下运行提权失败。msfconsole 提权没有做。
10.修复及安全建议报告:
(1)注册验证码设置过期时间
(2)找回密码设置验证码
(3)收货地址采用安全函数过滤,比如htmlspecialchars()安全函数
(4)后台上传图片使用黑白名单限制
(5)后台url访问采用IP白名单限制
(6)开启宝塔apache防火墙,设置xss、sql注入等正则替换,主要设置访问频率。防止扫描器及探测工具扫
第二个站
授权-个人博客渗透测试 查看>
测试对象:个人博客
对方站点配置环境:centos+mysql+php+nginx+某塔+layui+thinkphp
子域名:解析与主域名一致。
1.手工探测/admin直接找到后台地址,发现没验证码无流量限制。
2.测试用户名发现存在admin用户,burpsuite–intruder尝试弱口令爆破成功进入后台。
3.后台为layui–cms无法执行脚本文件、没有找到可用漏洞。
4.登录注册找回密码等功能模块没有找到相关漏洞。
5.由于站长好久没有管理及更新网站、想起之前宝塔有一个888/pma未鉴权可直接访问phpmyadmin。
6.通过宝塔漏洞直接进去phpmyadmin查看权限为root权限,尝试写入shell发现开启了安全模式。无法写入。
7.尝试利用mysql慢日志log拿shell 。
8.原理:select一句话木马使用延迟注入写入慢日志,将慢日志移动到网站根目录下进行访问链接。
9.下载thinkphp低版本框架及开发文档分析、通过报错找到绝对路径。
10.getshell—-结束。修复及建议报告:
1.更新某塔
2.设置八位及以上密码
3.设置目录限制和权限。无法移动或者写入即可
来源:freebuf.com 2021-01-06 20:02:29 by: pwnter
请登录后发表评论
注册