[TOC]
记一次渗透测试实战(已授权)
帮一位朋友进行的一次渗透测试检测,给了我一个官网域名
www.xxusss123123.com
Date: 2019-09-27-02:52
0x1 基本操作
拿着 7kbscan-WebPathBrute 1.6.0 一顿扫 结果如下
https://www.xxusss123123.com/xxusss123123.com.rar
https://www.xxusss123123.com/member/admin.asp
# 访问弹窗 “对不起,您不是管理员,请不要恶意操作”
https://www.xxusss123123.com/member/user.asp?Action=reg
# 注册用户页面
https://www.xxusss123123.com/robots.txt
https://www.xxusss123123.com/info.txt
如上发现备份文件下载方便多了,文件太大了所以下载完之前我看了一下网站大概的功能,注册了一个 test 账号,访问了一下 /member/admin.asp
发现还是弹窗 “对不起,您不是管理员,请不要恶意操作” = = wtf 看了下 cookie 。
如图:
刷新访问 /member/admin.asp
发现直接进来了 = = emmmm 不做评价
后台进来了,找上传点吧,我找的头炸了,源码下载完之后文件太多了,搜索关键文件 最后花了两个小时把所有的文件包括 upload 上传文件 admin 文件 config 数据库备份 配置文件 可疑的文件 发现源码日期为 2013年…
总结 这个域名只是通过采集别人网站的方式来进行数据更新,而后台就是刚才的管理界面没有任何可以上传的地方,没法拿到 webshell 我的头越来越炸,于是我下楼买了一个手抓饼 = =
最后我在一个文件下发现了 另外一个域名,于是我进行了域名爆破,最后拿到的域名
如下:
http://www.xxusss123123.com/ X
https://xx.xxusss123123.com/
http://mail.xxusss123123.com/ X
Mail 域名指向的是腾讯邮箱所以忽略
看了下 xx.xxusss123123.com
域名拿 7kbscan 扫了一下 都是些没有用的文件 什么都没有扫出来,发现突破口。
如图:
官网源码备份了,分站第六感觉也会有备份常见的路径跑过了, 随便访问一个不存在的路径返回 404 看到物理路径 直接访问 xx.xxusss123123.com/zhangben.rar
果然直接下载源码
查看源码我懵了比官网文件还要大,看了下都是些没有用的东西,直接搜索 upload 发现敏感文件
如图:
直接访问 xx.xxusss123123.com/excel/SWFUpload/upload.asp
发现什么都没有,于是查看 upload.asp 文件源码,发现可以任意文件上传。
如图:
编写 poc.html
如下:
<form method='post' action='http://xx.xxusss123123.com/excel/SWFUpload/upload.asp' enctype="multipart/form-data" >
<input type="file" id="file" name="test" style="height:20px;BORDER: #8F908B 1px solid;"/>
<button type=submit value="getshell">getshell</button> </form>
直接上传文件进行getshell 操作, 看了下 upload.asp 的源码找到路径
发现没有对文件进行重命名操作 ,直接访问上传的webshell
http://xx.xxusss123123.com/excel/SWFUpload/excel/user/temp/demo.asp
( webshell 已删除)
提权要听朋友意见 ……
后言
最近没怎么更新博客,主要是事情太多了,一直在敲代码 想着整合自己收集的 Nday ,0day 进行批量化检测和利用,来提高效率减少人力,呼~ ,收工睡觉。