实战 | 记一次双排渗透测试漏洞复盘
实战 | 记一次双排渗透测试漏洞复盘
原创 Abin/zuohua 神农Sec 2024-12-15 01:00
扫码加圈子
获内部资料
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。
不定期分享各种好玩的项目及好用的工具,欢迎关注。
0x1 前言
某天晚上和源哥进行技术交流,期间一起合作对一个站点进行测试,主要就是测试一下能不能出点货。就有了下面的双排渗透测试哈哈哈。
声明:本文仅用于网络安全相关知识分享,仅供学习交流,请严格遵守网络安全相关法律法规。
0x2 前期打点
首先第一步就是做信息收集,掏出fofa、hunter等工具进行收集
随后找到个站点,账密直接填好了,反手就进去了。
进入到里面可以看到如下功能点
可以在资料下载和内部交流那里进行文件上传,没有文件后缀限制
那么可以传一个p
hpinfo
上去看看
发包即可获得文件路径
但是这个文件路径并不完整,经过多次摸索才知道正确位置。
这里上传上去的文件路径为:xxx//xxx.php
但是没办法直接访问,这里找到的思路是该系统肯定有上传过附件或者图片,所以去找存在的图片,就能知道完整的路径。
0x3 渗透测试
首先在公文查看处可以查看已发布和未发布的公文,然后选其中一篇点击修改
选择查看附件,跳转到一张图片,从这里可以知道完整的文件路径
这样我们就知道上传的文件在哪里了,再接着访问解析就行
同理,在内部交流处也是一样,他们的接口都是一样的
这样就能证明通过文件上传get
shell
了,再加上进来时的弱口令。当然就这点小吃是不够的,继续深入!后面进行信息收集时又遇到其他两个系统的未授权访问
:
这里有一个添加上报数据表可以传文件,暂时放一下。然后遇到一个要手机号才能登录的站点
也是用字典跑了很久都没跑出来,索性放弃。
然后在进行目录扫描时发现一个1
.php
文件查看一下,发现是p
hpinfo
转战去小程序看看有没有搞头
看起来资产并不多,碰碰运气吧
经过测试,如果用自己的手机号会显示未绑定账户,但只要把数据包里的手机号替换一下就会显示发送验证码。
不是哥们,测了好几个也不行,后来发现是属于供应链了
…
行吧果断放弃。
小程序没得吃,web端又找到一处资产:
发现开放了
FTP
服务
,尝试匿名登录但未果
,行吧。搜一下有没有历史漏洞打个
nday
碰碰运气试试吧
既然有P
OC
那就打打看!
什么玩意啊,我们猜测有可能文件并不在c盘或者厂商已经打补丁了,毕竟四五个月前的洞了。后面我Fuz
z
了一会也无法显示。
0x4 峰回路转
我们又回到刚开始的站点,想着是不是还有什么东西没注意到
…?
这个不是ueditor么?注:Ueditor(百度编辑器)是一款由百度推出的在线HTML编辑器。它支持所见即所得的编辑模式,用户可以通过编辑器进行图片、视频等多媒体元素的插入,支持多种富文本编辑功能。我记得.net版本的ue是可以任意文件上传或者打SSRF(服务端请求伪造)的。那就开干!
找到附件上传点,准备好Pay
load
构造数据包并上传
接着就访问文件看看解不解析
成功,后面可以用迅捷P
DF
编辑器制作一个Java
Script
属性的文档写入Pay
load
,再通过此接口上传上去并访问即可再弹一个xss。
这里直接成功弹了一个XSS
成功。后面又找到一个奇怪的接口,也是又弹了一个xss
好家伙,合着一共弹了3个xss。后面继续在D
NS
log申请域名看看能不能打S
SRF
。
有回显,那么就很容易判断出来这里存在S
SRF
漏洞,可以Ping以下看看D
NS
lo
g
的请求。
看看D
NS
lo
g
的请求。
可以看到能正常收到请求。
这样又收获一个S
SRF
,舒服了
。
0x5 总结
思路总结:
信息收集、信息收集、信息收集很重要。(和源哥双排很爽!)
成果:
|
漏洞名称 |
数量 |
风险等级 |
|
弱口令 |
1 |
中危 |
|
任意文件上传 |
2 |
高危 |
|
存储型XSS |
3 |
高危 |
|
SSRF |
1 |
高危 |
|
敏感信息泄露 |
1 |
低危 |
我们是神农安全,
点赞 + 在看
铁铁们点起来,最后祝大家都能心想事成、发大财、行大运。
内部圈子介绍
圈子专注于更新src相关:
1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例
2、分享src优质视频课程
3、分享src挖掘技巧tips
4、微信小群一起挖洞
5、不定期有众测、渗透测试项目
欢迎加入星球一起交流,券后价仅40元!!! 即将满200人涨价
长期更新,更多的0day/1day漏洞POC/EXP