实战纪实 | 一次护网中的漏洞渗透过程
更多黑客技能 公众号:暗网黑客
本篇来自三期学员秋水投稿,现在都成了大佬啦~
测试之初
之所以投稿在社区闲聊版块,是因为测试方法及步骤不可取,只是谈一谈,不想错过这么一个包含,这种漏洞大家都能发现,就是给同学们康康你不止可以手测SQL注入哦。
打码可能会略微狠,挂名china的
目标基本信息:
内部邮件系统
可外网直接访问无限制
不需要去收集目标子域
可根据apache信息对目录及文件进行fuzz,但是比较有限
可适当对内部员工姓名进行收集,尝试弱口令
可对js接口中的文件进行信息搜集,尝试是否存在未授权
正文
文件包含
经过上面的基础测试吧,发现一些后台接口可以访问,但是无法完成操作,这时把思路提到这个单纯的登陆页面上来
随便输入抓取登陆页面的数据包
看到这一堆传输的数据,可能有人会选择性放弃,尤其是,传参貌似还是数组的,乱呼呼的啥玩意。
这个时候你只需要简简单单进行url解个码,你就可能超过了百分之五的人儿。.
这个时候你在仔细的看看数据包,就会离成功又近了一步,大概就包括ua、ip、用户名、密码等等
这里提一下,为啥我说我测试步骤绕了很大的弯弯,就是很明显的某个参数co_language_select,这真的很明显,就像是包含了一个语言的php文件。
直接尝试/etc/passwd,成功包含
至于这里的区分文件包含和文件读取,就是当你包含一个php文件的时候,会首先被解析,如下图
在这里我尝试了好多,因为一个单纯的文件包含,没什么可上传的地方
测试发现如果存在的目录或文件,如果有权限可被包含,如果没有权限则是服务器500,如下图
如果不存在访问的目录或文件,返回包如下
通过这种方式探测了下apache的存在位置,也读取了配置文件,从里面看并没有对日志文件有什么更改,就是默认配置
但是直接包含的时候,返回的数据包告诉我没文件,原因后面会提,至于php.ini文件一致没有找到,后面也会提,黑盒不大可能找到
总体下来各种东西包含的挺多的,就是没啥突破
尝试各种日志文件,不是没文件就是没权限
想试试php的自包含,但是两个难点,这根本模模糊糊的不知道哪个文件属于存在漏洞的文件而且要经过xml解码,再加上linux系统生成tmp文件的规则不通
缓存文件命令php+六位随机字符,这个各位可以试试
windows下的缓存文件名可爆破,linux较难
SQL注入
一时间有点僵局,当不知道怎么做的时候,让我们回到最初的起点,再看看数据包,没有其他功能点,倒是可以试试,根据返回包探测下用户名,然后再通过一些弱口令进入系统,去寻找一个上传点
此操作费时费力可能没回报作为此选项,来尝试大家都耳熟能详SQL注入?
这里一定是字符型的,加个单引号
没什么变化。。放弃吧?猜测经过一层xml处理会不会有些不太一样呢?
惊喜来了哦
不多解释
尝试进入系统
放包后会发现,跳转系统页面,但是细心一点会发现没有session
这也导致了接下来会被直接302跳转登录超时
尝试加入session
依旧是302跳转超时
最后回到我最初的返回包,康一下,好多delete
搞一哈
依然是302,再浏览器cookie加个字段,直接改呢
其实没太细究,应该是多了某些垃圾东西,我后面才发现,直接抓包,尝试万能密码就可以登录来着,可能是我测试数据包多了,有些自己加的垃圾东西,这里可略过,被自己菜了一把
文件上传
后面测试了下还是个未授权的上传,不需要cookie
直接上传的位置废掉了,
慢慢找,再下面的HTML编辑中找到了个编辑器
试了下还是没办法直接传php的,那正好文件上传+文件包含=>>RCE
其他步骤省略了,shell拿到
连接出了一点点问题,一路飙红
可能是服务器对流量有检测,可以随便做一下流量混淆,蚁剑都自带的
成功连接
其他
未授权上传证明
截图
黑客渗透视频教程,扫码免费领
