【tcsl.ntu.edu.tw】从万能密码到动态下载再到最后Getshell-思路分享社区-Web安全-赤道学院

【tcsl.ntu.edu.tw】从万能密码到动态下载再到最后Getshell

通过Fofa搜索找到此edu⽹站。 标签:region=”TW” && host=”edu”

Image description

寻找漏洞和注⼊点 进⼊⽹站后,发现存在类似 ?id= 参数url。并且,发现前端⻚⾯有⽂件下载、说明后台有⽂件上传功能

Image description

确认漏洞和注⼊点

既然存在?id= 参数的url和⽂件下载。将url 丢进sqlmap扫描是否存在SQL注⼊,同时扫描⽹站路径,看 是否能找到后台路径地址。 结果当然不尽如⼈意。 前端只存在布尔和时间盲注、御剑也是没有扫描出任何路径。

Image description

Image description

寻找后台

前端存在⽂件下载,还是希望能找到后台进⼊来确认是否存在任意⽂件上传。

于是尝试通过FOFA搜索,便直接找到后台域名。 FOFA标签:ip=”125.227.54.186″ && body=”管理”

Image description

进⼊后台

前端只存在布尔和时间盲注,⽐较费时、直接使⽤万能密码尝试登录。 万能密码成功进⼊后台。

Image description

根据前端⽂件下载⻚⾯,找到后台相对应⽂件上传功能。 发现该功能存在任意⽂件上传漏洞。成功传⼊⼀句话⽂件。

Image description

寻找⽂件存储路径

传⼊⼀句话⽂件后发现,⽂件上传后的存放位置未知,前端采⽤⽂件下载功能,并⾮通过访问路径下 载。尝试通过前端图⽚存放位置,发现并⾮在同⼀路径下。

Image description

通过检查源码判断,上传的⽂件应该被重命名,并且下载⽂件是通过获得数据库的字段值来获得⽂件。

Image description

再尝试猜解路径、读取源码、扫描后台路径都⽆法成功获得。

Image description

寻找后台注⼊

既然是通过数据库来获得⽂件下载。那还是得进⼊数据库查看⼀下。 由于前端所有注⼊点都是布尔和时间盲注。 尝试通过扫描后台是否有SQL注⼊漏洞。

Image description

重点!!!
扫描后台需要登录的⻚⾯注⼊点,必须加上–cookie

Image description

发现存在union注⼊。

Image description

读取数据库名、表名、表数据

Image description

通过读取表数据发现,确实是⽂件上传后被重命名、

Image description

确认⽂件存放位置

已知被改后的⽂件名。那便可直接使⽤其到⽹⻚中再次尝试猜解路径。
通过表名、检查源码以及第⼀次猜解路径使⽤legis_file、news_file
尝试将_file删除、加⼊已知重命名后的⽂件名。成功获得⽂件存储位置。

Image description

获得shell

再次上传⼀句话⽂件。蚁剑成功连接

Image description

 
6 天 后
请登录后发表评论

    没有回复内容