某厂的红队考核
2023-4-8 09:2:25 Author: 李白你好(查看原文) 阅读量:34 收藏

宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好设为星标”,否则可能就看不到了啦!

0x01 要求介绍

三个端口,获得shell并提权,代码审计0day加分。

0x02 环境介绍

127.0.0.1:8000  银行系统

127.0.0.1:8001  tomexam系统

127.0.0.1:8002  jspxmcs

0x03 开始渗透

127.0.0.1:8000

这个根据网上的说话,说他有注入点,进行了尝试。

发现无法注入,应该是做了加固。先放一放。

127.0.0.1:8001

是一个tomexam系统

后台存在sql注入点。

注册任意账号进去。

新闻管理处有sql注入点。

看一下。

没有写入权限--无法上传webshell

不支持堆叠注入--无法update数据库(后续会用到)

三个靶场是同一个数据库,这里把用户名密码都下载了下来。

进入tomexam系统后台,初步尝试文件上传

除了jpg其余都返回不能上传。(后续能绕过)。

百度了一下,发现所有文章都没有写这个上传点。

尝试了一下绕过,还是只能上传jpg图片。

放一下看一看另一个系统。

127.0.0.1:8002 jspxcms

网上都是利用这个后台进行上传文件getshell的,

根据刚刚读取的密码,发现admin密码无法碰撞出来。

其余的账号都没有权限。

这里尝试了一些路径拼接全部都是403,尝试了一写403的绕过,失败。

这里找到了jspxcms的源码。找到了一些网上没有出现过的上传点。

发现能上传,但是和本地搭建的环境不太一样。

尝试后也是失败。

说实话这里有点难顶。

能想到的方式和网上的方式都尝试了。发现都无法上传shell。

沉下心想一下:

回头捋一下,这几个系统。想获得shell---文件上传、rce、sql注入。

这里sql注入--失败(应该有我没发现的)。

rce--也失败了(应该有我没发现的)

文件上传--感觉是白名单。

别被别人影响,不要先入为主。(就死在这上面了)

继续尝试127.0.0.1:8001

文件上传也就tomexam系统有。看一下源码吧。

在网上找到了源码。

第一次看感觉就是白名单。

第二次看,这是一个假的白名单。是假的竟然。可以绕过。

PS:网上没有写出来,人家还要考核,这里具体就不泄露了。感兴趣可以自己看一下。

知道是假的了。那么直接尝试上传文件,获取webshell

server 2012  土豆家族内存提权。

继续

127.0.0.1:8002

8001端口getshell了。

然后尝试8001-jspxcms的服务。

这里漏洞都尝试了,只有后台没有尝试。但是密码无法碰撞出来

SQL不支持堆叠注入--无法修改密码。

这里取巧了。

还记得8001的shell吗。

利用上文的shell。直接连接sql。重置密码。

登录admin 密码为空

制造war包。

提权和上述一样。

127.0.0.1:8000 只有这个没有shell了。

说一下这个系统。

登录后台,发现并没有什么功能。

只有一个任意文件下载的漏洞。

自带的文件下载是下图这个路径。

开始并没有扫描对方端口,发现开发了3306端口。

那么思路就来了。

任意文件下载--->下载数据库用户名密码--->连接--->写入webshell--->你说路径在哪里,你看看上面默认下载的文件是不是就是路径呢。

0x04 往期精彩

两次钓鱼 BOSS直聘HR上线CS

揭开网络诈骗面纱:诈骗钓鱼网站与防诈骗的专业透视


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247498025&idx=3&sn=abef4b4ebf2723b44003a507fc8d57fa&chksm=c09a8a79f7ed036ff0ab66bba9c8aa0f5d615685611df15641c4989874d7a797220c0d25c5ab#rd
如有侵权请联系:admin#unsafe.sh