实战 | 另类方式拿下考场管理系统
2022-12-12 08:33:30 Author: 潇湘信安(查看原文) 阅读量:14 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源:奇安信攻防社区(xingshen)

原文地址:https://forum.butian.net/share/243


最近又到了学生考试的时候,在一高校下发现了一考试管理系统如下:
老规矩,先试试有没有注入
很遗憾,是没有的,也很正常,那接下来我们去搜集一下信息吧,先去扫一下这个域名。
扫出来很多,但打开都会跳转到登录页面,加了权限验证,陷入思考。。。
拉在最下面发现了这个
本人在大学担任过学校网络管理员,大学的项目基本都是外包给公司的,这里应该是开发公司的群,我们加一下,加成功发现似乎是售后的
我们与客服聊了一下,伪装成客户,并不是很成功,也没有得到什么有效的信息,客服回复信息也是非常的慢,我们继续去群里吧

在群文件里发现了点东西
这很好,似乎看到了点希望,有两个压缩包和一些没用的(其实是我看不懂,哈哈),那个1.zip里面又是一堆没用的文档,但那个pages.rar里却是一些php文件,我去问了下客服这是什么,她说是这个版本如果出问题就用这个替换一下。
那我们去看看这是啥
打开之后,一个个去观察,尤其是最后的几个save开头的文件

我们随便打开一个save看一下
密码是用sha256+salt的方式加密的,继续往下看
发现了数据库执行操作,现在我们已经大致知道了这个页面的作用,它是保存用户信息用的
在这里插入了图片,这个时候往回看
name=image,标准的图片上传,我们自己去写上传包

写成这样,也不知道对不对,先试试,不行再改

似乎是成功了,但是没有文件位置,但由于上面的代码我们可知道,他是会传到/uploadImage/Profile/这里
很遗憾,没有,说明没上传过去,我们再回去包那里,我真是服了我自己了,原来是filename少了个",无语啊。。。
上传成功,上蚁剑
这个漏洞是因为没有对post方式进行权限验证,应该完全禁止任何方式对此目录的访问,这个漏洞我已经打电话给高校了,希望他们重视吧。

关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包

 还在等什么?赶紧点击下方名片关注学习吧!


推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247500015&idx=1&sn=ed1d56cf488dacc57d8cc5d99ec7f749&chksm=cfa564fcf8d2edea4bc82677c56a07d14bf1c1d8d0c4f83559718d8e9e1dccdbf657db538b55#rd
如有侵权请联系:admin#unsafe.sh