QQ love member No. 3 seed player

know it then do it && APT086&QQ愛安全实验室成员

记一次渗透测试实战(已授权)

27 Sep 2019 » security

[TOC]

记一次渗透测试实战(已授权)

帮一位朋友进行的一次渗透测试检测,给了我一个官网域名

www.xxusss123123.com

Date: 2019-09-27-02:52

0x1 基本操作

拿着 7kbscan-WebPathBrute 1.6.0 一顿扫 结果如下

https://www.xxusss123123.com/xxusss123123.com.rar
https://www.xxusss123123.com/member/admin.asp    
# 访问弹窗 “对不起,您不是管理员,请不要恶意操作”

https://www.xxusss123123.com/member/user.asp?Action=reg
# 注册用户页面
https://www.xxusss123123.com/robots.txt
https://www.xxusss123123.com/info.txt


如上发现备份文件下载方便多了,文件太大了所以下载完之前我看了一下网站大概的功能,注册了一个 test 账号,访问了一下 /member/admin.asp 发现还是弹窗 “对不起,您不是管理员,请不要恶意操作” = = wtf 看了下 cookie 。

如图:

x001

刷新访问 /member/admin.asp 发现直接进来了 = = emmmm 不做评价

x002

后台进来了,找上传点吧,我找的头炸了,源码下载完之后文件太多了,搜索关键文件 最后花了两个小时把所有的文件包括 upload 上传文件 admin 文件 config 数据库备份 配置文件 可疑的文件 发现源码日期为 2013年…

总结 这个域名只是通过采集别人网站的方式来进行数据更新,而后台就是刚才的管理界面没有任何可以上传的地方,没法拿到 webshell 我的头越来越炸,于是我下楼买了一个手抓饼 = =

最后我在一个文件下发现了 另外一个域名,于是我进行了域名爆破,最后拿到的域名

如下:

http://www.xxusss123123.com/            X
https://xx.xxusss123123.com/						
http://mail.xxusss123123.com/						X

Mail 域名指向的是腾讯邮箱所以忽略

看了下 xx.xxusss123123.com 域名拿 7kbscan 扫了一下 都是些没有用的文件 什么都没有扫出来,发现突破口。

如图:

x003

官网源码备份了,分站第六感觉也会有备份常见的路径跑过了, 随便访问一个不存在的路径返回 404 看到物理路径 直接访问 xx.xxusss123123.com/zhangben.rar 果然直接下载源码

查看源码我懵了比官网文件还要大,看了下都是些没有用的东西,直接搜索 upload 发现敏感文件

如图:

x004

直接访问 xx.xxusss123123.com/excel/SWFUpload/upload.asp 发现什么都没有,于是查看 upload.asp 文件源码,发现可以任意文件上传。

如图:

x007

编写 poc.html

如下:

<form method='post' action='http://xx.xxusss123123.com/excel/SWFUpload/upload.asp'  enctype="multipart/form-data" > 

<input type="file" id="file" name="test" style="height:20px;BORDER: #8F908B 1px solid;"/>

<button type=submit value="getshell">getshell</button> </form>

x006

直接上传文件进行getshell 操作, 看了下 upload.asp 的源码找到路径

发现没有对文件进行重命名操作 ,直接访问上传的webshell

http://xx.xxusss123123.com/excel/SWFUpload/excel/user/temp/demo.asp

( webshell 已删除)

x008

提权要听朋友意见 ……

后言

最近没怎么更新博客,主要是事情太多了,一直在敲代码 想着整合自己收集的 Nday ,0day 进行批量化检测和利用,来提高效率减少人力,呼~ ,收工睡觉。