随便聊聊某站

qiushui   ·   发表于 2020-06-22 17:04:05   ·   实战纪实

记录某hw中的站点漏洞


之所以发在闲聊区,其实测试方法及步骤不可取,只是谈一谈,不想错过这么一个包含,这种漏洞大家都能发现,就是给同学们康康你不止可以手测SQL注入哦

测试之初


打码可能会略微狠,挂名china的

目标基本信息:

  • 内部邮件系统
  • 可外网直接访问无限制
  • 不需要去收集目标子域
  • 可根据apache信息对目录及文件进行fuzz,但是比较有限
  • 可适当对内部员工姓名进行收集,尝试弱口令
  • 可对js接口中的文件进行信息搜集,尝试是否存在未授权

正文


文件包含
经过上面的基础测试吧发现一些后台接口可以访问,但是无法完成操作,这时把思路提到这个单纯的登陆页面上来

随便输入抓取登陆页面的数据包


看到这一堆传输的数据,可能就会存在一小部分哥哥,选择性放弃,尤其是,传参貌似还是数组的,乱呼呼的啥玩意
这个时候你只需要简简单单进行url解个码,你就可能超过了百分之五的人儿


这个时候你在仔细的看看数据包,就会离成功又近了一步,大概就包括ua、ip、用户名、密码等等

这里提一下,为啥我说我测试步骤绕了很大的弯弯,就是很明显的某个参数co_language_select,这真的很明显,就像是包含了一个语言的php文件

直接尝试/etc/passwd,成功包含


至于这里的区分文件包含和文件读取,就是当你包含一个php文件的时候,会首先被解析,如下图

在这里我尝试了好多,因为一个单纯的文件包含,没什么可上传的地方
测试发现如果存在的目录或文件,如果有权限可被包含,如果没有权限则是服务器500,如下图


如果不存在访问的目录或文件,返回包如下


通过这种方式探测了下apache的存在位置,也读取了配置文件,从里面看并没有对日志文件有什么更改,就是默认配置


但是直接包含的时候,返回的数据包告诉我没文件,原因后面会提,至于php.ini文件一致没有找到,后面也会提,黑盒不大可能找到


总体下来各种东西包含的挺多的,就是没啥突破

  • 尝试各种日志文件,不是没文件就是没权限
  • 想试试php的自包含,但是两个难点,这根本模模糊糊的不知道哪个文件属于存在漏洞的文件,而且要经过xml解码,再加上linux系统生成tmp文件的规则不同,缓存文件命令php+六位随机字符,这个各位可以试试,windows下的缓存文件名可爆破,linux比较难

SQL注入
一时间有点僵局,当不知道怎么做的时候,让我们回到最初的起点,再看看数据包,没有其他功能点,倒是可以试试,根据返回包探测下用户名,然后再通过一些弱口令进入系统,去寻找一个上传点
此操作费时费力可能没回报作为此选项,来尝试大家都耳熟能详SQL注入?
这里一定是字符型的,加个单引号

没什么变化。。放弃吧?猜测经过一层xml处理会不会有些不太一样呢?
惊喜来了哦


不多解释


尝试进入系统
放包后会发现,跳转系统页面,但是细心一点会发现没有session


这也导致了接下来会被直接302跳转登录超时


尝试加入session


依旧是302跳转超时


最后回到我最初的返回包,康一下,好多delete


搞一哈


依然是302,再浏览器cookie加个字段,直接改呢


其实没太细究,应该是多了某些垃圾东西,我后面才发现,直接抓包,尝试万能密码就可以登录来着,可能是我测试数据包多了,有些自己加的垃圾东西,这里可略过,被自己菜了一把

文件上传
后面测试了下还是个未授权的上传,不需要cookie

直接上传的位置废掉了,


慢慢找,再下面的HTML编辑中找到了个编辑器


试了下还是没办法直接传php的,那正好文件上传+文件包含=>>RCE
其他步骤省略了,shell拿到


连接出了一点点问题,一路飙红

可能是服务器对流量有检测,可以随便做一下流量混淆,蚁剑都自带的
成功连接

其他


未授权上传证明
截图

关于包含日志问题

用户名金币积分时间理由
奖励系统 100.00 0 2020-06-30 19:07:33 投稿满 10 赞奖励
奖励系统 50.00 0 2020-06-25 23:11:54 投稿满 5 赞奖励

打赏我,让我更有动力~

8 Reply   |  Until 2021-8-16 | 2306 View

mq
发表于 2020-6-22

秋水秋水===========求水求水

评论列表

  • 加载数据中...

编写评论内容

qiushui
发表于 2020-6-22

哥哥,水也不用说的这么明显吧,这不都发到还灌水了,这还没金币

评论列表

  • 加载数据中...

编写评论内容

qiushui
发表于 2020-6-22

看来我得换个位置,水一百金币

评论列表

  • 加载数据中...

编写评论内容

无心法师
发表于 2020-6-24

给学长点个赞 就有金币了

评论列表

  • 加载数据中...

编写评论内容

海洋
发表于 2020-6-25

我来给你点亮那50金币的赞

评论列表

  • 加载数据中...

编写评论内容

1697571223
发表于 2020-7-26

一看是我秋水大佬,我就立马点赞

评论列表

  • 加载数据中...

编写评论内容

lieren
发表于 2020-12-2

非常值得学习,日站中

评论列表

  • 加载数据中...

编写评论内容

qiushui
发表于 2021-8-16

aaaaa

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2023 掌控者 All Rights Reserved.