找到
18
篇与
渗透实纪
相关的结果
-
密码甩到我脸上奇葩案例再现 信息泄露 目标首页 开局一个登录框,随便输入一个平台不存在的用户名响应包是这样 平台存在的用户名响应包是这样 密码都甩脸上了,没啥好说的了解密后得到明文,成功登录到后台 文件上传1 在更改用户头像的地方存在文件上传,对上传的文件没有任何限制 成功上传木马并连接 文件上传2 在系统的另一个功能中又找到一个上传入口,同样可以getshell 正常上传是这个样子 木马链接地址:地址/static_testwebsite/wwwroot/Images/heads/z8.png 目录穿越 注意到响应包中返回的文件地址是相对路径,猜测可能存在目录穿越漏洞,把文件的路径修改一下 通过多个../../成功把文件上传到目标的根目录下 逻辑缺陷1 登录用户名填平台中存在的用户名,这里以admin用户为示例。密码随便填然后拦截请求包,修改响应包中的code值改为1,放包后可以登陆到后台 逻辑缺陷2 后续又发现这个系统是通过userid参数来识别账户的。重新填写一个错误的账号和密码拦截数据包修改响应包内容为以下内容 放包登陆后是管理员账户 退出系统,重新登录。把响应包中的userid参数改成2 放包登陆后是管理员账户
-
我有9个aksk你信吗 弱口令 目标首页 搜索所有前端文件看看有没有敏感内容啥的。搜索后没有找到任何能利用的信息,那就测试一下看看有没有弱口令吧。随便输入一个测试账户点击登录后会跳出图形验证码。 原本看到这个图形验证码心想完了,没法爆破账号了。但是查看数据包时舒服了,请求包中没有验证码校验的参数,且响应包中回显用户不存在。 拿着这个数据包直接爆破,成功找到两个用户名 爆破获得密码 运气超好还是个高权限账号,所有功能都能使用。在账号管理板块中获取所有账号。 提取所有账号爆破一遍后共有15个账号使用默认密码 存储型XSS 这个系统很多地方都能上传文件,这里拿报告管理功能来演示。上传入口只是在前端对文件的后缀进行了校验。 我这边为了方便就直接上传pdf文件,访问后成功跳出弹窗。 平台是使用存储桶存储文件的,只能弄一个存储型XSS。后续又测试了文件覆盖和目录遍历,最终结果是对方非常安全。 信息泄露 后台的功能逛了一遍能玩的就这些,刚想清空bp的历史数据包看到一条高亮,来活了。 登录后发现有两个存储桶,共计存储64123个文件,总共534.73G 这个账号上还有7台机器 7台机器全部成功上线 在其中一台机器的进程中发现有nacos 直接cd到/usr/nacos,一般nacos的树结构是这样的 nacos/ ├── bin/ # 启动脚本 │ ├── startup.sh │ └── shutdown.sh ├── conf/ # 配置文件目录 │ ├── application.properties # 主配置文件 │ ├── cluster.conf # 集群配置 │ ├── nacos-mysql.sql # 数据库脚本 │ └── nacos-logback.xml # 日志配置 ├── data/ # 数据文件 │ ├── derby-data/ # 嵌入式数据库 │ └── config-data/ # 配置数据 └── logs/ # 日志文件重要的东西都在conf文件夹里,在配置文件中找到了一个数据库 连接数据库后又找到了xxl-job的账号和密码 解密并成功登录系统 在配置文件中还找到了华为的aksk 数据量达到23T 撑死胆大的,饿死胆小的。直接接管212个服务。 在通知消息里面发现服务地址 扫描目标后发现存在权限绕过漏洞,没啥好说的直接利用这个漏洞新建用户。 登录后通过配置文件找到许多敏感信息,通过这个nacos获取到6个数据库、2个阿里aksk、1个华为aksk、2个华为ocr的aksk、2个华为tts的aksk
-
从渗透到逆向还原攻击过程 任意文件读取 目标首页 系统没有弱口令但是有sql注入漏洞 爆破目录试试,还真有东西。 这是user路径的界面 这是admin路径的界面 分别递归再次爆破目录后只有admin的路径有东西,爆破出了config路径 访问后是这个样子 挨个点击功能后发现好玩的了,点击Edit_Conf功能,再点击左侧的文件即可看到文件中的内容,并修改。 正当我挨个点击查看文件内容时发现url发生了变化,这是原本正常的链接:地址//admin/config/file_edit.php?file=extensions_hud.conf&act=edt。 注意到他是通过file参数来请求文件的,那我来尝试请求一下passwd文件吧。您猜怎么着,还真就读到了,任意文件读取漏洞到手。 信息泄露 接着查找能用的信息,通过一通翻找找到了servers.conf文件,里面写了数据库的账号和密码。账号visitor密码visitorPass@1234 我反手就是一个连接,成功拿下数据库。又在数据库的maintuser表中找到了平台的管理员账户和密码。账号maint密码dscomsystem 我拿着账号和密码就是一个登录,crazy。 尝试上传 系统功能逐个点击后发现能利用的只有备份与恢复功能,其中的上传备份功能首先引起了我的注意。这个系统是php语言写的,制作好木马后尝试通过这个入口把码传到目标中。 但是把木马上传上去后没有返回文件地址,这条线玩完了。 备份文件下载 回头再看添加备份功能。转念一想既然能够打包所有代码,那我就可以把压缩包下载下来代码审计了啊。立马操作。 备份完成后点击恢复备份按钮即可查看到压缩包,立马下载名为webapp完整代码的压缩包。 解压打开后天塌了,所有的代码都被加密了!结束结束结束。 任意文件读取 回到刚刚下载压缩包的步骤我又发现了好玩的东西。这是原本正常的链接:地址/admin/backupdownload.php?filename=2025-09-24_2330_full_backup_webapps.tar.gz 注意到他是通过filename参数来请求文件的,那我来尝试请求一下passwd文件吧。您猜怎么着,还真就读到了,第二个任意文件读取漏洞到手。 历史入侵记录 备份文件都下载下来了不能浪费啊,再瞅瞅吧。这一瞅还真瞅出东西来了。在admin文件夹下有师傅在2024年上传的后门。 1.php是一句话木马,2.php是文件上传入口 另外在YCHW文件夹中有师傅留下的隧道和扫描结果 这都送分送到家门口了,没啥好说的了,直接连接隧道上线打内网啊。 分析 打目标时候为了节约时间,就没有怎么细想系统的文件上传入口,文件最终被上传在了什么位置。 等结束后我仔细翻找了一下在/var/backup/路径中找到了我上传的木马文件。 同时也发现师傅和我一样在这个入口周旋过。 那么师傅是怎么把木马上传上去的呢?现在揭晓答案:是通过备份与恢复的功能上传上去的。这里就有师傅疑问了,前面不是说上传备份的功能找不到文件路径吗,怎么现在又说是通过这个功能上传木马的。 备份与恢复有:添加备份、恢复备份、上传备份三个功能。 首先把当天的代码全部备份,再通过恢复备份的功能把完整代码的压缩包下载下来。然后把制作好的木马放到想要的文件路径中,重新把所有文件压缩成压缩包,通过上传备份功能把压缩包上传上去,并解压。此时木马成功被放置到目标中。 还原过程 首先通过上传备份功能上传1.jpg来查找文件路径,时间为:2024-11-06 21:49:36 接下来使用添加备份功能来备份当天系统的所有代码,时间为:2024-11-06 21:58:58 接下来把备份文件下载下来,然后把制作好的木马文件放在admin目录下重新打包好并通过上传备份功能释放修改好的压缩包,时间为:2024-11-06 22:55:44 然后就休息了,到了第二天应该是想要上传fscan工具但是上传一直不成功,所以新建了2.php的文件上传入口后门,时间为:2024-11-07 08:37:29 隔了1分钟后fscan成功被上传到YCHW文件夹中,时间为:2024-11-07 08:38:39 后续的扫描文件的时间全都对上了
-
逻辑漏洞逻辑漏洞还是逻辑漏洞 第一个逻辑漏洞 目标菜单栏中只有这个一可以打,其他的都是文章链接 进入小程序第一步注册账号,头像处可以测试上传。 通过测试只能上传图片类型的后缀,其他的全都不行,下一个 修改个人信息的数据包引起了我的注意,它不是通过cookie来判断用户,而是openid,明摆着的越权漏洞 ok知道了逻辑,重新注册一个账号。把新账号的openid填进去然后发包 刷新账号的个人信息,信息被篡改了,第一个逻辑漏洞到手 第二个逻辑漏洞 返回到我的界面,然后重新进入个人信息界面时查询用户信息的数据包再次引起了我的注意。它也是通过openid来查询用户数据的,返回的数据包含姓名、手机号、身份证号、邮箱、账号、密码、openid。 直接填入新账号的openid,成功返回刚刚修改的信息。第二个逻辑漏洞到手 第三、四个逻辑漏洞 来到首页,测试志愿者注册功能点 有验证码功能,那测试一下有没有短信轰炸啥的。 通过测试只有短信转发漏洞,卡1卡2接收到的验证码都一样。第三个逻辑漏洞到手 另外提一嘴,注册志愿者也是通过openid来辨别身份的,我可以让任意一个人成为志愿者,算是第四个逻辑漏洞 信息泄露 接下来测试自主查询功能点,志愿者查询功能没啥可测的,重点在于志愿队伍查询 问题来了,怎么获取队伍名呢?这个可以在志愿队伍功能中查看到 输入获取到的队伍名,成功查询到队伍信息,同时还查询到队长姓名、手机号、身份证号、邮箱、账号、密码、openid 弱口令 小程序测试完成,开始测试web端 登录框没啥好说的,逐一尝试sql、接口、弱口令,最后弱口令成功进入后台 在用户管理功能中共计2513条个人信息,内容包含姓名、手机号、身份证号、邮箱、openid 泄露的openid结合上面的漏洞进行操作妥妥的乱杀 存储型XSS 在后台的的活动管理功能处,发现站点使用的是UEditor编辑器。这个网站是php的所以没办法通过编辑器getshell,只能造成一个存储型XSS 众所周知需要鉴权的漏洞分数都不会太高,所以现在要找到这个编辑的demo。demo不需要鉴权就能使用,造成的存储型XSS分值就会高。怎么找呢?非常简单用编辑器随便上传一张图片,在请求包中就可以看到路径 拼接一下地址就可以访问到编辑器的demo了 存储型XSS漏洞过程就不演示了,自行百度复现
-
姜太公钓鱼 寻找目标 上次写了一篇关于谷歌黑语法的文章,恰好这几天有闲时间索性就随便摸一摸。 这次找有sql注入的目标,直接一个inurl:?id= intext:公司,资产这不就来了。 逐个对这些目标进行测试。其实就是在参数后面加单引号,如果有报错就细测。弄到管理员密码就到后台找其他漏洞,就这样成功了好几个。直到遇到这个资产。 两个站 复制链接丢进bp浏览器访问时发现是另一个界面。使用http访问的是第一张图的站点,https访问的是第二张图的站点,奇怪太奇怪了。那就分开测试吧。 HTTP站点 按部就班 首先通过谷歌黑语法找到注入点:http://127.0.0.1/information.php?id=28,尝试参数后面加上一个单引号页面中的内容就消失了。 这一看就有注入啊,直接丢给sqlmap处理。 后面也都知道的,找管理员账户和配置文件看看有什么敏感信息啥的。不过最后只有管理员账号和密码有用。 既然知道了管理员账户和密码那就开始找后台吧。后续把我所有字典全都跑完了都没找到后台地址,这不就废了吗光有密码找不到入口。 那不行,不能让我时间白白浪费了。继续在找找看有没有其他的漏洞再利用一下。 用rad爬取整个站点链接,然后去掉没用链接。 在爬取的目录中有编辑器路径,后续尝试爆破目录同样没有任何反应遂放弃。 姜太公钓鱼 接下来着重对有参数的id进行测试,果不其然在其中一条链接存在反射型XSS,有XSS就好说了直接钓鱼。 http://127.0.0.1/news.php?a=bexc3&begindate=w3o77&c=x83k5&categoryid=zk5y7&email=t6h89&emailto=n3ai1&id=<script>alert('XSS')</script>&item=x3591&jsonp=d9z06&keyword=vkkv5&l=y1956&lang=lg1b7&list_btn=j52s6&month=bm864&parent_ele=qmx20&pre_btn=o3qg1&query=tktd8&token=jf6u3&view=tg8d1&waite_time=g76a0&year=yn0e4 找个XSS平台选择默认模块就足够了,主要就是用来获取管理员cookie和后台地址用的。由于平台关闭了邮箱通知功能,不能在第一时间使用有效的cookie。如果管理员长时间不操作那么获取到的cookie就会失效。所以这里需要把keepsession选上,这个功能每隔9分钟会自动访问目标来确保cookie的有效性。 测试了一下这个链接可以正常接收到数据。 众所周知每个公司的官网都有留言的地方,我们可以通过这个功能把钓鱼链接发送给后台。当管理员登录后台发现有留言肯定会点击查看。 愿者上钩(静候佳音) 等待后续补充 HTTPS站点 呦!你也在啊! 原本以为这两个站是同样的,用同样的注入点访问时站点返回File not found。嗯?这啥情况? 随便翻了翻这个站点同样存在sql注入,注入点:https://127.0.0.1/news_details.php?id=215。 两者的数据库结构差不多,管理员账号和密码都一模一样。 还在留言板中找到了其他师傅留下的信息 同样这个站点存在反射型XSS。宁可错杀一百,不可放过一个。继续钓鱼,具体操作和上面的一样这里就不展示了。
