|
教育src 700rank了想著繼續(xù)沖一波分����,早日上核心����,于是就有了下面這一次滲透測(cè)試的過程了。 開局一個(gè)登陸框�����,且存在密碼找回功能�����。 
歸屬為某教育局 
開啟burp 抓取登陸包,發(fā)現(xiàn)用戶密碼并未加密 ����,嘗試爆破admin賬戶密碼 跑了一下發(fā)現(xiàn)報(bào)如下錯(cuò)誤,看來爆破這條路走不通了�����。 
于是fofq查詢了一下ip,無旁站�。繼續(xù)肝下一個(gè)功能點(diǎn),密碼找回 
密碼找回處 
可以看出這里肯定是會(huì)存在數(shù)據(jù)交互的�,于是加個(gè)單引號(hào)測(cè)試一下sql,返回500 
兩個(gè)單引號(hào)��,返回正常�����,可以斷定這里是肯定存在sql注入了���,抓取包丟進(jìn)sqlmap中跑一下��。 
得出如下payload sqlmap resumed the following injection point(s) from stored session: --- Parameter: #1* ((custom) POST) Type: boolean-based blind Title: AND boolean-based blind - WHERE or HAVING clause Payload: login_name=admin' AND 5698=5698 AND 'yKnB'='yKnB Vector: AND [INFERENCE] Type: time-based blind Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP) Payload: login_name=admin' AND (SELECT 3409 FROM (SELECT(SLEEP(5)))iWYb) AND 'ZAHe'='ZAHe Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR]) 報(bào)錯(cuò)與延時(shí)注入��,對(duì)于接下來的滲透意義不大���,繼續(xù)fuzz����,嘗試按照正常邏輯找回密碼���。 抓取返回包可以很明顯的看到其中存在success參數(shù)其值為false,我們將其改為true���, 
頁面顯示如下�����,flag參數(shù)不為空�,這是玩ctf呢���,再次重放找回密碼請(qǐng)求�。 
發(fā)現(xiàn)����,flag的值應(yīng)該是在這設(shè)定哦,but并不知曉flag的值����,無從下手手 
行吧轉(zhuǎn)換思路��,既然admin賬戶沒有設(shè)置手機(jī)號(hào)����,那我去跑一下賬戶���,總有設(shè)置手機(jī)的賬戶��,flag出現(xiàn)了�����,現(xiàn)在目前不知道有何作用�。轉(zhuǎn)手測(cè)試有手機(jī)號(hào)的賬戶����。 
隨意輸入驗(yàn)證碼,點(diǎn)擊下一步�,大概是明白了,這個(gè)flag就相當(dāng)于身份id����。
我們繼續(xù)抓取返回包�,改success 參數(shù)為true���,成功到達(dá)重置密碼界面
設(shè)置了一下新密碼���,之后使用burp抓包,發(fā)現(xiàn)存在兩個(gè)參數(shù)flag 與pwd flag參數(shù)之前在跑用戶名的時(shí)候我們就已經(jīng)獲取到了�,所以這里我單獨(dú)拉出來,復(fù)制之前的flag。
Send����,返回結(jié)果為true表示成功更改
成功登陸
既然成功登陸之后,就開始找上傳點(diǎn)了
Java站那就是jsp與jspx了���,經(jīng)過一番fuzz找到一處相冊(cè)管理
先上傳了一張圖片,獲取到了上傳路徑��。
接著在構(gòu)造jsp小馬嘗試上傳,目標(biāo)存在waf jsp無法上傳����,我是一點(diǎn)都不意外啊。
看了看poc中可疑的參數(shù)點(diǎn)�����,這不就是我們需要的文件路徑,以及文件名嗎�,我們可以嘗試在此處更改文件后綴。
證實(shí)了猜想�����。
于是繼續(xù)構(gòu)造poc���,成功上傳����,拼接之前得到的url�����,嘗試訪問
發(fā)現(xiàn)直接打印了�,看來是不解析。
可以很明顯的看到這里是目錄結(jié)構(gòu)�����,所以嘗試刪除部分目錄���,重新上傳
例如
發(fā)現(xiàn)成功跳過目錄
繼續(xù)訪問發(fā)現(xiàn)還是直接打印了��,不慢慢fuzz跳目錄了���,我直接跳到他根目錄下面�����。
分析一下����、這是最開始上傳到的目錄并不解析�����,我們可以看到其中有四層目錄
刪除其中如下兩層目錄后���,還剩下
這兩層目錄所以用 ../../來跳過這兩層目錄。 結(jié)合之前的路徑���,拼接訪問��。
未授權(quán)�����,點(diǎn)到為止���,打包提交
帶帶我代碼審計(jì)可好�����,好哥哥們����。
|
