web渗透测试练习——熊海cms V1.0

0x00 前言

做一次渗透测试的练习。以及对思路进行一个总结。

0x01 start

我就随便写一点记录和笔记吧。

1.过程

首先拿到这个网站了之后，打开页面

然后第一个想法就是丢到AWVS里扫一扫，然后就挂着扫吧。

加一个 admin试试

后台到手，请忽略我之前登录尝试的东西。

随便点一点

一般我看到这种有数字的，第一个想法就是丢到sqlmap跑一跑。让它去跑吧。

然后加一个单引号试试

凭经验，这里铁定有一个反射 xss

接着乱点，http://127.0.0.1/?r=list&class=3&page=1
看到这里

丢到 sqlmap 去跑

然后手动测试xss看有没有
测试class参数，使用探测器。zhuzhu

接着测试page变量

探测成功，更换payload

又一枚反射xss到手

看到一个评论的地方

测试

我们多写点东西

这里发现没有作用

换一个位置继续尝试

提交成功之后，发现探测出结果了。

使用payload进行尝试。

成功拿到一枚反射型xss。

sqlmap结果出来了。
http://127.0.0.1/?r=content&cid=18 的结果是存在注入

–dbs

–tables

–columns

数据dump

拿到一个账号密码。

后台登录尝试

登录成功。这里直接看到一个xss，就是我们评论的那个。

另外一个url http://127.0.0.1/?r=list&class=3&page=1

无注入。

接着前面的来。在联系这个地方有一个留言，看一下和刚才那个评论是一模一样的。肯定也是相同的问题。

测试


又一个xss入手

进入到后台页面之后

看一下评论，然后进行测试。

这个就很奇怪了，明明在前台都过滤了，后台反而不过滤了。

可以适当的删除一些我们添加的弹xss的评论。

然后我们试一下另外一个参数

测试发现没有什么效果

我们来看看其他的，用户资料这里来看一下

这里使用payload进行测试

看到评论这里有一个可疑url
http://127.0.0.1/admin/?r=reply&type=1&id=7
单引号测试

先说这里肯定是有一个反射xss的。

这里使用payload进行反射。

然后把url丢到sqlmap中跑一下，这里要使用cookie注入的方式进行注入。

看到后台有一个友链的位置

使用payload进行测试

成功弹窗

我们到前台看一下。

发现这里什么都没有。
回去看了一眼发现，原来是没有显示。

再次返回前台，成功弹窗

接着看这里有一个设置广告的地方，我们来进行修改一下。

打开前台，成功弹窗。

整理一下，假如我们没有拿到sql注入，怎么进入后台。

看到这里的后台没有验证码，可以考虑爆破。

使用bp拦截抓包

Action到intruder。
先clear一下

选择密码然后进行Add

接下来设置payload

选择bp自带的字典就可以了。

设置线程

start

然后等待。

排序一下，然后就能找到密码。

当然也可以对账号密码进行post注入。
首先使用bp进行抓包。

将这个内容保存成一个txt

这里使用sqlmap -r参数进行对txt内容的读取。

注入成功

2.结果

id	位置	漏洞
1	http://127.0.0.1/?r=content&cid=18	反射xss
2	http://127.0.0.1/?r=list&class=3&page=1	反射xss
3	http://127.0.0.1/?r=content&cid=6	存储xss
4	http://127.0.0.1/?r=content&cid=18	sql注入
5	http://127.0.0.1/?r=contact	存储xss
6	http://127.0.0.1/admin/?r=commentlist&type=message	存储xss
7	http://127.0.0.1/admin/?r=manageinfo	存储xss
8	http://127.0.0.1/admin/?r=reply&type=1&id=7	反射xss
9	http://127.0.0.1/admin/?r=editlink&id=3	存储xss
10	http://127.0.0.1/admin/?r=linklist	存储xss
11	http://127.0.0.1/admin	爆破
12	http://127.0.0.1/admin	sql post注入
13	http://127.0.0.1/admin/?r=reply&type=1&id=7	sql Cookie 注入