快捷搜索:  汽车  科技

渗透测试成功的八个方法(记一次相对完整的渗透测试)

渗透测试成功的八个方法(记一次相对完整的渗透测试)开启burp 抓取登陆包,发现用户密码并未加密 ,尝试爆破admin账户密码 跑了一下发现报如下错误,看来爆破这条路走不通了。归属为某教育局声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。教育src 700rank了想着继续冲一波分,早日上核心,于是就有了下面这一次渗透测试的过程了。开局一个登录框,且存在密码找回功能。

作者:AGONI

实操推荐:SQL注入

https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015060916565800001&pk_campaign=toutiao-wemedia#stu

本实验以PHP和MySQL为环境,简单展示了SQL的发生原理和利用过程,通过显错注入和盲注的对比,更直观展现注入的不同利用方法。

声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。

教育src 700rank了想着继续冲一波分,早日上核心,于是就有了下面这一次渗透测试的过程了。

开局一个登录框,且存在密码找回功能。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(1)

归属为某教育局

渗透测试成功的八个方法(记一次相对完整的渗透测试)(2)

开启burp 抓取登陆包,发现用户密码并未加密 ,尝试爆破admin账户密码 跑了一下发现报如下错误,看来爆破这条路走不通了。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(3)

于是fofq查询了一下ip 无旁站。继续肝下一个功能点,密码找回

渗透测试成功的八个方法(记一次相对完整的渗透测试)(4)

密码找回处

渗透测试成功的八个方法(记一次相对完整的渗透测试)(5)

可以看出这里肯定是会存在数据交互的,于是加个单引号测试一下sql,返回500

渗透测试成功的八个方法(记一次相对完整的渗透测试)(6)

两个单引号,返回正常,可以断定这里是肯定存在sql注入了,抓取包丢进sqlmap中跑一下。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(7)

得出如下payload

sqlmap resumed the following injection point(s) from stored session: --- Parameter: #1* ((custom) POST) Type: boolean-based blind Title: AND boolean-based blind - WHERE or HAVING clause Payload: login_name=admin' AND 5698=5698 AND 'yKnB'='yKnB Vector: AND [INFERENCE] Type: time-based blind Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP) Payload: login_name=admin' AND (SELECT 3409 FROM (SELECT(SLEEP(5)))iWYb) AND 'ZAHe'='ZAHe Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE] 0 [SLEEPTIME])))))[RANDSTR])

报错与延时注入,对于接下来的渗透意义不大,继续fuzz,尝试按照正常逻辑找回密码。

抓取返回包可以很明显的看到其中存在success参数其值为false,我们将其改为true,

渗透测试成功的八个方法(记一次相对完整的渗透测试)(8)

页面显示如下,flag参数不为空,这是玩ctf呢,再次重放找回密码请求。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(9)

发现,flag的值应该是在这设定哦,but并不知晓flag的值,无从下手

渗透测试成功的八个方法(记一次相对完整的渗透测试)(10)

行吧转换思路,既然admin账户没有设置手机号,那我去跑一下账户,总有设置手机的账户,flag出现了,现在目前不知道有何作用。转手测试有手机号的账户。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(11)

随意输入验证码,点击下一步,大概是明白了,这个flag就相当于身份id。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(12)

我们继续抓取返回包,改success 参数为true,成功到达重置密码界面

渗透测试成功的八个方法(记一次相对完整的渗透测试)(13)

设置了一下新密码,之后使用burp抓包,发现存在两个参数flag 与pwd flag参数之前在跑用户名的时候我们就已经获取到了,所以这里我单独拉出来,复制之前的flag。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(14)

Send,返回结果为true表示成功更改

渗透测试成功的八个方法(记一次相对完整的渗透测试)(15)

成功登陆

渗透测试成功的八个方法(记一次相对完整的渗透测试)(16)

既然成功登陆之后,就开始找上传点了

渗透测试成功的八个方法(记一次相对完整的渗透测试)(17)

Java站那就是jsp与jspx了,经过一番fuzz找到一处相册管理

渗透测试成功的八个方法(记一次相对完整的渗透测试)(18)

先上传了一张图片,获取到了上传路径。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(19)

接着在构造jsp小马尝试上传 目标存在waf jsp无法上传,我是一点都不意外啊。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(20)

看了看poc中可疑的参数点,这不就是我们需要的文件路径,以及文件名吗,我们可以尝试在此处更改文件后缀。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(21)

证实了猜想。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(22)

于是继续构造poc,成功上传,拼接之前得到的url,尝试访问

渗透测试成功的八个方法(记一次相对完整的渗透测试)(23)

发现直接打印了,看来是不解析。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(24)

可以很明显的看到这里是目录结构,所以尝试删除部分目录,重新上传

渗透测试成功的八个方法(记一次相对完整的渗透测试)(25)

例如

渗透测试成功的八个方法(记一次相对完整的渗透测试)(26)

发现成功跳过目录

渗透测试成功的八个方法(记一次相对完整的渗透测试)(27)

渗透测试成功的八个方法(记一次相对完整的渗透测试)(28)

继续访问发现还是直接打印了,不慢慢fuzz跳目录了,我直接跳到他根目录下面。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(29)

分析一下、这是最开始上传到的目录并不解析,我们可以看到其中有四层目录

渗透测试成功的八个方法(记一次相对完整的渗透测试)(30)

删除其中如下两层目录后,还剩下

渗透测试成功的八个方法(记一次相对完整的渗透测试)(31)

渗透测试成功的八个方法(记一次相对完整的渗透测试)(32)

这两层目录所以用 ../../来跳过这两层目录。

结合之前的路径,拼接访问。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(33)

渗透测试成功的八个方法(记一次相对完整的渗透测试)(34)

未授权,点到为止,打包提交

渗透测试成功的八个方法(记一次相对完整的渗透测试)(35)

带带我代码审计可好,好哥哥们。

渗透测试成功的八个方法(记一次相对完整的渗透测试)(36)

猜您喜欢: