实战渗透之一个破站日一天
使用关键词得到目标源码
某日上午接到临时安排对某公司进行渗透测试,此次渗透给的是一个主域名,并且也没有子域,打开了目标网站先对其进行一波信息收集
中间件: IIS 8.5
输入admin发现自动添加了/
说明其目录存在,那么盲猜一波文件,login.aspx
default.aspx main.aspx等等
最终在login.aspx下面发现后台登录页面。这不猜他一波弱口令??
一顿操作过后账号被锁
熟悉的开局,既然如此只能尝试其他方法了。
在主页的html代码中发现了某处信息
设计制作?根据后面的域名访问过去,是一个建站公司
那么,入手点来了。IIS8.5+ASP.NET+建站系统
先扫一波备份文件:
400多条ip这开发商还行。使用FOFA查询工具,批量导出
然后我们来扫一下备份文件。这里推荐我B哥的扫描器
https://github.com/broken5/WebAliveScan
可以进行批量存活扫描和目录扫描
在好几个站下面发现web.zip备份文件。
下载下来过后,对其目标站点文件进行了对比。基本一致
拿到代码开始审计多次碰壁
那么开始审计。
在某接口处放下敏感操作WebClient.DownloadFile(远程文件下载)
由于该方法需要提供绝对路径。。比较头疼,但我跟踪相关参数。发现。
在另一个方法中调用了该方法。
并传入Server.MapPath,这根本不需要找绝对路径了系统都给你安排好了。
那么构造POC:
ashx/api.ashx?m=downloadfile&FilePath=asmx.jpg&WebUrl=http://***.cn/
访问地址:
文件存在,那么证明可行
回到目标地址:
被修复了文件不存在
继续回到代码中,审计其他漏洞在其他接口中,也均存在多个漏洞。如ueditor远程抓取漏洞
文件重命名可Getshell
但是这些接口都需要登录
这就很头疼了,打算在一些无需登录的接口中尝试寻找SQL注入。
最终在某处发现SQL拼接。
但是这里调用了IsSafeSqlString检测
常见符号基本被卡的死死的
拿下开发商寻找通用账号逆向加解密算法
由于都是使用了相同的建站程序,怀疑有程序内置账户
于是准备通过刚才审计出来的漏洞。从同程序的站点入手
最终在某个站点成功拿到Webshell
看了下相关信息
居然是厂商的演示站群,存了该开发商所有站点源码。
应该是在开发过程中的演示环境吧站点有很多,估计每个客户都有。
在服务器里翻到了目标站点的演示网站
根目录下有zip网站备份和sql 数据库备份。
如果说目标站点是直接搬迁过去的,那么后台账户密码应该是一样的。
将其SQL文件下载下来,在其中搜索相关信息
发现了插入账户的SQL语句。其密码是加密过的
cmd5解不开,看了下密文是33位加密。
但是登录过程中,密码是RSA加密过后传输的,而后端居然是33位的md5加密
因为有源代码,追踪了一下登录了相关方法。
密码传入后,调用了CommFun.EnPwd进行了一次加密。
追踪EnPwd方法
可以看到,传入进来的密码是RSA类型,先进行了一次RSA解密,然后进行了一次DES加密。
追踪DESEncrypt.Encrypt方法。
这里是将Encrypt方法封装了一下,并传入加密key。
其核心加密方法如下:
并且,在该类里。还定义了解密方法
得到了加密方法和解密方法以及key,那么只需要将其单独拉出来调用就可以了。
尝试登陆
忙活半天,白干了。
柳暗花明拿下目标shell
已经下午4点了。还是一无进展,准备尝试绕过SQL过滤。
就在这时候,我发现了一处SQL注入点。
某方法接收了两个参数,却只对一个参数进行了过滤。
在目标网站上测验
存在注入,发现存在waf使用垃圾参数填充成功绕过waf
直接上sqlmap安心的跑,得到系统账户以及密文
将得到的密文进行解密,得到结果
尝试登录。这下总对了吧!
终于进来了!!!!
经过之前的审计,发现了很多接口都存在漏洞,现在成功登录了。岂不是随便getshell?
直接ueditor带走。
成功shell
实战渗透之一个破站日一天相关推荐
- php网站渗透实战_【案例分析】记一次综合靶场实战渗透
原标题:[案例分析]记一次综合靶场实战渗透 时间有点久,这里主要和大家分享一下思路. 该靶场是多层网络下的综合渗透,只开放了一个web端可以访问,其他均处于内网. 开始渗透 首先进入靶场开放的唯一一个 ...
- 【报告分享】B站商业化探索频频,品牌方如何布局“小破站”营销.pdf
大家好,我是文文(微信:sscbg2020),今天给大家分享面朝研究院于2020年8月份发布的报告<B站商业化探索频频,品牌方如何布局"小破站"营销.pdf>,研究视频 ...
- 从小破站到大B站:哔哩哔哩变味了?
配图来自Canva 继<后浪>和<入海>之后,B站又拍片了. 作为B站三部曲的最终章,B站选择在自己11周年之际,发布这条由老年人主演的<喜相逢>.不同于之前的两部 ...
- Python:哔哩哔哩B站视频下载,我终于对小破站下手了
前言 众所周知,B站的视频是以Blob的方式分断传输视频的,网上也有很多使用拼接视频来达到下载的目的的,但是这样的效率很低,这篇文章提供了三种其它的思路去下载小破站的视频. 开发环境 python 3 ...
- Metasploitable 3 实战渗透测试
Metasploitable 3 实战渗透测试 环境准备 靶机:Metasploitable 3 链接:https://pan.baidu.com/s/13kcqMwrUoxgE6_vxD8L0wA ...
- LOL钓鱼网站实战渗透
点击上方蓝字关注我们 相信很多人都有遇到过这样的经历,无意中点到一些钓鱼网站,然后就泄露了自身信息,造成了一定的损失,对于这样的网站各位需警惕,千万不要乱点击来历不明的网站. 今天我就来说说钓鱼网站的 ...
- php制作cms视频教程下载,PHPCMS V9 实战模板制作视频教程+仿站超级工具
PHPCMS开放平台是基于PHPCMS V9系统为开发者和站长提供工具及应用的平台.开发者可以通过开放平台开发适用于PHPCMS V9软件的各种应用,并在应用审核通过后直接进入phpcms软件的应用中 ...
- 实战渗透 | 向吃鸡外挂站开炮
0X01 因为最近吃鸡被外挂打自闭了,所以准备也让那些卖挂的体会一下什么叫做自闭. 昨天晚上爬了快1000个卖吃鸡外挂的平台 你们这些卖挂的,等我有空了一个一个捶. 发现大多数都是用的一套aspx的程 ...
- 实战渗透-Shiro反序列化漏洞实例
0x01.前言 这是一次授权的渗透测试,技术含量不高,但我始终相信,每一次的积累,都是为了成就更好的自己,所以过程简洁,记录下每个知识点.对渗透而言,我更喜欢实战的体验感,那种喜悦和知识的获取感,永远 ...
最新文章
- 数据库迁移用到的命令
- 不用任何程序就可锁住和隐藏你的文件
- C++编程人员容易犯的10个C#错误
- python中对列表浅复制深复制另类的理解方式
- 基于JAVA+SpringMVC+Mybatis+MYSQL的网上商城
- (实用软件分享)屏幕取色器ColorPix
- 漫画:什么是 “智猪博弈” ?
- php后端文件,【后端开发】php文件用啥打开
- 可视化修改SQL服务器名字,修改sql server服务器名称
- asp.net mvc 学习总结
- 在Total Commander下使用sftp操作服务器
- 时间复杂度和空间复杂度OvO
- case class 和 class的区别
- wireshark找不到接口?你的NPF没启动
- 女生适合学数据分析吗?过来人告诉你
- 宝塔面板SSL证书显示不安全?这里我教你宝塔SSL证书如何配置及开启HTTPS访问的操作方法
- fastadmin文件上传ucloud云插件安装配置
- Form derives from Form
- Centos7中文字体库安装
- navicat 过了试用如何继续解决
热门文章
- 计算机应用基础在线作业南开,2017南开计算机应用基础在线作业满分的答案.doc...
- python怎么索引txt数据中第四行_python txt读取第一行数据库
- 如何解决微服务架构中的雪崩问题?
- 为什么B+树比B树更适合做数据库索引
- 一段CyclicBarrier代码
- 详解FTP服务完成Linux和WIN10之间的信息传输(实验详解)
- 实验详解——parted单磁盘分区并进行配额
- 获取昨天凌晨毫秒数_Java 获取当前时间距离当天凌晨的秒数
- 问题合集 ------- 用 Eclipse 平台进行 C/C++ 开发
- java调用c dll,指针参数和结构体参数搞定