从密码重置打到Getshell和其它漏洞打包

这篇具有很好参考价值的文章主要介绍了从密码重置打到Getshell和其它漏洞打包。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

前几天是准备上点edusrc的分的所以就准备用手上还没刷的Nday继续上分,然后就有了今天这个案例:

信息收集

之前在挖某体育学院证书的时候就挖到过一个通过修改html文件更改密码修改步骤的漏洞

所以就准备测绘一下这个资产继续看看能不能上分

挑一个打开:

没有背景图了但还是同资产,因为在测试某体育学院的时候是有账户的,所以直接输入那个账户就能进行下一步操作了,但是这个资产无账户,所以我打算去在搜集一下学号之类的

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

学号这块都是一无所获,然后正准备想其它切入点的时候就突然发现

这块的要求是输入学号后5位,而学号通常是有规律的,所以就去生成字典FUZZ了一下

Python输出从00000~99999字典的程序为:

dictionary = {}
​
for i in range(100000):
​
key = str(i).zfill(5)
​
value = \"Value \" + key
​
dictionary\[key\] = value
​
with open(\'dict.txt\', \'w\') as file:
​
for key, value in dictionary.items():
​
file.write(key + \'\\n\')

载入字典后还要设置下时间

最后成功拿到几个账户

EDUSRC不收爆破类漏洞所以这个学号不能算是漏洞,但最后学号总归是出来了

随后直接输入FUZZ出的5位学号把

https://1.test.edu.cn/passworf/find1_html

后的find1_html改为find2_html

直接输入我们要重置的密码更改成功后去登录后台:

持续浏览功能点寻找突破点:

发现一个活动添加点

不存在上传点但是存在描述功能,直接构造xss的payload试试:

<Script>alert("1)</Script>

存储XSS+1

此处的payload:<Script>alert("1)</Script>

采用大小写绕过

随后又发现一个信息上传点:

这几块点是透明没开bp,然后就打算开BP看看能不能拿到些什么突破口

点击这块的【添加简历信息】下面的标题处的第一个点

发现是个信息编辑界面但它这块是跳出个小窗口的所以前面没怎么注意到开了BP抓包时才发现这块点:

点击右侧的修改抓包后:

发现id值,直接单引号闭合查看:

浏览器端:

发现执行了sql语句

且发现是GET请求:

所以把这块的路径拉到浏览器直接访问

这样就不用担心防sqlmap表单了,且不用打包数据包更快捷了

Sqlmap成功跑出数据!

Sql注入+1

随后继续到【会员注册】处

直接在搜索处单引号闭合:

成功执行查询语句

F12调出网络又发现也是GET请求方式,复制请求URL直接查看回显

直接sqlmap跑

Sql注入+2

然后点击右上角【管理员】三个字

一开始没发现这三个字还能点击,点击后发现到了信息上传点:

这块可以上传文件先上传个php试试

提示只能上传上面列出的文件类型,正要准备想其它办法绕过的时候突然发现这块允许上传的文件类型中包括pdf,所以直接上传一个pdf-xss试试:

成功上传然后浏览器访问试试:

但浏览器提示没有文件,然后仔细看了一下文件上传回显:

这里的uploadfile/16893293978.pdf的路径是跟在了?value=参数后面的然后这块参数给完后还在后面又跟了个参数:

?file=url=uploadfile/16893293978.pdf,再回到请求包中的参数:

发现此处的有个&field=url的参数尝试把参数改成1

浏览器回显不存在"1",所以这块就明了的,参数&field=后面应该接的参数是文件上传后的路径,因为我们这块输入1,不存在1这个文件所以回显NotFound ,明了了这块所以我们那文件试试:

放包:

成功触发XSS

存储xss+2

但是这块的任务是getshell所以还是继续尝试文件上传

修改MIME信息且php5分段绕过但还是提示不能上传,传了图片马但是不能解析

这块上传应该是写死了,所以继续找其它突破口,查看参数发现存在"filename"

问题参数啊,迅速添加延时命令试试:

`sleep 7`

回显处成功延时:

命令执行成功!进一步探测:

Curl命令探测ngrok.io

成功回显!

命令执行+1,最后相对应的用命令获取shell就行

总结

整体难度适中只不过这次测试后台功能点有点多需要仔细观察测试,后台的信息收集做好了Getshell难度瞬间就变小了。

更多网安技能的在线实操练习,请点击这里>>文章来源地址https://www.toymoban.com/news/detail-599845.html

 

到了这里,关于从密码重置打到Getshell和其它漏洞打包的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 帆软 V9 Getshell 漏洞

    0x00 任意文件上传漏洞【 FineReport V9 】   0x01 漏洞描述 此漏洞是任意文件覆盖,上传 JSP 马,需要找已存在的 JSP 文件进行覆盖,寻找Tomcat 启动帆软后默认存在的 JSP 文件 0x02 漏洞详情    payload 替换成冰蝎的马,即可getshell 0x03  临时修复建议 排查是否使用帆软系统,并同步

    2024年02月11日
    浏览(39)
  • Hadoop未授权访问 getshell——漏洞复现

     Hadoop未授权访问漏洞介绍 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害

    2024年04月16日
    浏览(51)
  • yxcms弱口令至getshell 漏洞复现

    (1)yxcms yxcms 基于 PHP+MySQL 开发,这是一个采用轻量级 MVC 设计模式的网站管理系统。轻量级 MVC 设计模型使网站系统更加紧凑,且支持自定义表功能,使整个网站的数据结构设计更为灵活,也可以支持将图集、文章拓展成为其他实例,比如展品、分类等栏目。 本靶场中将使

    2024年02月11日
    浏览(47)
  • 【漏洞复现】Apache_Tomcat7+ 弱口令 && 后台getshell漏洞

    感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规 说明 内容 漏洞编号 漏洞名称 Tomcat7+ 弱口令 后台getshell漏洞 漏洞评级 高危 影响范围 Tomcat 版本:8.0 漏洞描述 Tomcat 支持在后台部署 war 文件,可以直接将 webshell 部署到 web 目录下。其中,欲访问后台,

    2024年02月05日
    浏览(40)
  • 【文件包含漏洞-03】文件包含漏洞的利用及如何利用本地文件包含漏洞GetShell

    我们可以利用文件包含漏洞读取任意文件,读取文件的时候有利用条件 目标主机文件存在(目标文件的路径、绝对路径、相对路径) 具有文件可读权限 提交参数 http://localhost/include/include.php?path=C:windowssystem32driversetchosts ,读取本地host文件 提交参数 http://localhost/include/includ

    2024年02月11日
    浏览(45)
  • PHPCMS v9本地文件包含漏洞Getshell

    漏洞原理 文件包含函数加载的参数没有经过过滤或者严格定义,可以被用户控制,包含了其他恶意文件,导致执行了非预期的代码。 漏洞危害 文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,并得到网站配置

    2024年02月11日
    浏览(41)
  • thinkphp 5-rce(rce漏洞getshell)

     vulhub靶场 http://xxxxx:8080/?s=/Index/thinkapp/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]=whoami  验证漏洞 linux系统,可以用touch命令创建文件 http://xxxxx:8080/?s=/Index/thinkapp/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]= touch mm.php 再用echo写入一句话 http://xxxxx:8080/index.

    2024年02月14日
    浏览(39)
  • 渗透测试-Fastjson反序列化漏洞getshell

    目录 前言 测试环境准备 dnslog测试 搭建rmi服务器准备恶意类 引用JdbcRowSetImpl攻击 反弹shell$命令执行 总结 :fastjson 1.2.24反序列化导致任意命令执行漏洞 注:本次渗透测试全在虚拟机中进行仅用于学习交流,请勿在实际网络中攻击他人服务器。 前言         最原始

    2024年02月07日
    浏览(57)
  • 【实战系列3】IIS PUT文件上传漏洞GetShell

    在前段时间做某医院🏥的渗透项目里,遇到了这个漏洞,说话话我还是第一次见这个漏洞,因为这个漏洞真的很老,只有在IIS的古老版本中才存在的漏洞,但是确实危害很大,而且最后可以成功shell了,所以也来做一个脱敏的完整渗透记录。 提示:以下是本篇文章正文内容,

    2024年02月15日
    浏览(37)
  • 实战红队挖掘漏洞---用友时空KSOA v9.0版本ImageUpload任意文件上传漏洞+getshell

    前言,本次笔记是记录在工作中的打红队时挖到的用友时空KSOA任意文件上传漏洞。 emmm,怎么说呢,就是又在一次加班码到晚上十点的时候,挖掘到了一个用友时空ksoa v9.0文件上传漏洞。 大家先看看长什么样吧,大概就这样!版本这么明目张胆的就展现在我面前,不找一下这

    2024年02月08日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包