浅记一次挖洞经历

一次比较愉快的挖洞历程

一开始拿到主站，翻了翻没啥可用的中间件漏洞版本信息。所以，还是那句老话：柿子还是要挑软的捏。光速去搜寻他的旁站（我用的是奇安信的Hunter）。

果不其然搜索到了他的后台登录系统。既然是登录，当然要用BP去爆破一下他的密码了。一般后台用户名要么是admin,要么是root。

很幸运，又让我成功的爆破了出来他的密码。弱口令+1。

进入后台，就要尝试有没有出现未授权访问了，没有的话也别灰心，继续去找它的功能点，比如他的搜索框。（很容易有SQL注入）

用BP抓包，在搜索内容中添加个单引号，看响应包的Content-Length是否会变化。

若添加两个单引号。内容长度又回到一开始的长度，很可能是单引号闭合了导致的。

这时候就直接扔进SQLMAP扫描就好了，直接爆出数据库。SQL注入+1.

接着找功能点。

在一个信息修改的地方，有个上传文件的地方，本来想着上传个图片马GETSHELL啥的，但似乎怎么尝试都只能上传Excel，Excel就Excel吧。想着Excel-XXE的，但似乎好像也不行。很难受。

但是，但是，但是他似乎能对上传的文件进行下载。哦吼，让我想到了任意文件下载？？？

开始BP抓包。

 

URL解码一下，这不就是绝对路径嘛？？？！！！

尝试修改个路径，再编码回去，在BP重发器GOGOGO。

任意文件读取+1.（但似乎下载不下来。）

内容编辑，自然要尝试XSS了。

果不其然，存储型XSS+1

剩下的就要交给NMAP了。开启了3389

尝试远程桌面连接。好吧，猜不到密码。。。。。

可惜是Win2012，要是2008或者Win7，直接就可以进行ms12-020，去爆破他的密码了。可惜可惜。。。。

就先浅浅记到这里吧。