This page looks best with JavaScript enabled

记一次曲折但没必要的渗透

 ·  ☕ 3 min read

曲折是真滴曲折,没意义也是真滴没意义

0x01 基本踩点

网站长这样

avatar
whois啥的就先不收集了,诈骗人员一般用的都是假信息

先dirsearch扫波目录
avatar
ok,后台找到了
avatar

0x02 开始渗透

浏览下大致功能,都需要登录才能操作,这里我们注册下。
avatar
发现需要推荐码才能注册,一般这种网站都有一个默认推荐码,又以0000居多,这里0000成功注册

浏览了下功能,在邮箱这发现个SQL注入

avatar

点击这个信息,显示个手机号的弹窗
avatar

乱输入一个字符进去,手机号消失了。怀疑存在注入,当我想进一步测试发现被拦截了、
avatar
这时候浮躁的我就不想测了,绕过就麻烦,等下不存在注入咋办嘛?

0x03 社工管理员

然后就继续看功能点,没发现啥有价值的东西。这时候想一下,这种诈骗网站肯定不是自己开发的。1是开发成本高,二是骗子就图个省事。所以个人认为大部分程序都是cms开发。

这时候我的思路:

通过网站特征找出演示站>拿下演示站源码>审计漏洞>getshell目标站

这时候浏览公司动态发现具有非常诱惑性的标题,因为随便就能百度出来了,我这里就打重码了。

![avatar] https://gitee.com/Y4er/static/raw/master/2020/03/21/bi6arHc0f6qN7rtZ.png)

通过百度搜索得到演示站
avatar
通过联系方式加上站长qq,这站长刚开始还挺谨慎
avatar

然后表明我想搭建这个网站,康康后台功能,得知这网站是交付给客户的,那客户联系方式还没来得及改~

avatar
因为这个站不是演示站,不能给账号,盲猜这老哥是个搭站的,cms的开发者不是他
avatar
这时候好好讲道理是讲不下去了,只能不理他,让他着急一下。

avatar

这时候这哥们沉不住气了,发了一大堆网站后台截图给我,通过一张截图,找到了一个qq邮箱,这哥们也是粗心,都不把联系方式给去了。。

avatar

通过qq,加上真正的cms开发者,并给了我演示站的后台账号密码
avatar

0x04 拿下目标

登录后台之后,找到一处kindeditor任意文件上传,当时把我高兴的,以为不用脱裤审源码getshell了。

avatar
利用url构造上传表单指向目标站,事实是残酷的,必须有cookie也就是登录状态才能上传
avatar
还是老老实实拖源码下来审计吧。这时候想到刚开始测的疑似注入点,直接定位到那个文件。

avatar
跟踪到&MSMSMSMS&,发现存在一层过滤
avatar

除了关键字过滤,没有别的过滤,所以说明只要绕过了这层关键字过滤,就能造成一个SQL注入。经过公司大佬的提示,access也有换行语句,最后利用%0a进行绕过。
access注入的过程就不提了,反正在语句间加%0a即可绕过。因为有源码,这里直接定位到amdin表,注入得到管理员账号和32位md5加密的密码。当我准备去解密的时候

avatar

世事就是这么无情,当你满怀希望的时候,直接给你浇盆冷水。这个时候思路断了,因为这个表下只有一行数据。

然后抽了支烟想了一下,既然解密不出,我们是不是可以迫使管理员去改密码,当md5值一改变,是不是就还有机会?。所以我利用bp又跑了几次注入,然后用dirsearch扫描网站,尽量把网站动静弄大一些。其中的辛酸就不提了,包括被管理员删账号等等。然后我把手中的活停了,让管理员误认为我放弃抵抗了。最后让团队小伙伴帮我注出密码

avatar

最后登录后台上传shell一气呵成,打包脱裤一条龙
avatar

总结

可以看到我的标题,没必要就在于我测sql注入的时候,应该坚持一下的,坚持一下可能就没后面的事了。还是太菜,溜了溜了

Share on

Dejavu
WRITTEN BY
Dejavu
Web渗透爱好者