序言
回想这几年,入行也有了不少年头,研究方向一直偏向于实战型红队,刚入门网络安全那会,漏洞挖掘只会爆破,记得当时一位师傅给了我一个edusrc的邀请码,这条路走的一发不可收拾,随愿国庆抽了点时间把之前的部分站点整理成合集,希望能给大家技术增长上有些许帮助,文章细枝末节处可能很拙劣,如有瑕疵烦请斧正。
锦集
上某交通大学-sql注入漏洞-Bypass
检测过程:通过子域名信息收集收集到某系统,目标:https://demo.demo.edu.cn/因为是asp.net的站点,这里我会更倾向于目录未授权,js代码审计,sql注入,网站上有一则通知点进去发现url张这样,/Message/Message.aspx?id=1&yxdm=1&type=1
id,type两个参数强类型转换掉了,yxdm参数由于没有做强类型转换加个单引号报错,这里可以使用特殊语法爆出来@@version数据库版本信息,使用if not来做延迟判断,payload:
if%20not%20(substring((select%20@@version),25,1)%20=%200)waitfor%20delay%20%270:0:8%27%20--
成功延迟,接下来可以跑python脚本对数据库二分法注入
上某交通大学-shiro反序列化
检测过程:针对目标进行外网互联网段整理,在某教育段一个IP处发现结算系统
点击登陆返回包内发现remeberme字段,为shiro依赖组件,使用shiroscan跑key
然后使用反序列化工具尝试命令执行,反弹shell或者打内存马都可以
福某师范大学-Sql注入-Getshell
检测过程:使用fofa对目标进行信息收集发现目标站点如下
List.aspx页面的id参数可控,这里实际是不存在sql注入的
供应链获取到源码可以看到id参数传过来之后被Convert.ToInt32强类型转换了,这里的Int类型强类型转换一般用于数据绑定上面,通常的asp.net会使用DataSet来进行数据集的绑定,这种写法是很常见的,在页面下存在管理员登陆跳转
黑盒转为白盒代码审计,通过Admin_Login.aspx去审计后端cs源码,由于这套代码没有使用mvc的dll方法封装也就不用反编译dll文件的,很方便
登陆逻辑的第70行存在sql语句拼接,这里是存在sql注入的
使用sqlmap测试username参数存在sql注入全类型,尝试开启xp_cmdshell插件执行ehco命令写入base64冰蝎webshell
厦某大学-供应链-Getshell
检测过程:目标域名demo.edu/login为本次目标的二级域名
使用强口令账号密码登陆后台,这里登陆错误三次以上是会加载验证码的,理论上不存在被爆破的可能,当然要是对接验证码识别平台api也是可以的
附件上传处添加.php扩展名一路绿通直接抓包上传免杀webshell
发包过后返回了文件路径,使用哥斯拉连接即可
成功getshell,后渗透部分为数据库信息收集
当前站点目录下的db.config.php文件内存放的有数据库字符串,连接即可
某旦大学-0day-内网沦陷
检测过程:供应链泄露运维vpn信息,使用某旦专用vpn连进内网
进内网之后不要使用任何fscan扫描的工具防止触发内网态势感知告警,高权限系统内能看到内网IP地址分布直接访问
使用任意用户添加0day加入管理员用户进入后台
log修改处存在任意文件上传,直接发包即可getshell
我们可以根据接口或者上传路径查看当前代码位置,这里看到logo文件上传路径是赋值给了tmpuploadpath,跟过去
这里的是最终文件路径的拼接,查看一下file参数做了哪些限制,继续往下跟
当actionType等于img的时候会进入后缀文件名检查,file的类型检查则没有做过多判断,这里只要我们更改actionType的类型不为img即可上传成功
还有很多处文件上传点但都不能用,具体表现在以下
例如这里重命名文件名为.xlsx,这是我们不想看到的,后渗透方面,发现当前权限比较低为linux的www权限,centos内核使用exp提权到root权限获取宝塔管理权限
内网发现一处禅道OA校园信息化系统
使用任意用户添加漏洞进入后台
获取数据库字符串使用adminer连接数据库获取数据库权限和所有用户hash,其他漏洞主机权限全打包了
某开大学-敏感信息泄露
检测过程:信息收集到目标的一处Djiango框架,这里对js进行代码审计fuzz接口发现一处未授权页面
通过这个页面能直接添加管理员用户进去,普通用户hash可解部分可登陆,文件上传处能上传pdf xss没什么用
对管理员密码hsh解开尝试撞mysql数据库成功连接
某汉大学-未授权-Sql注入
检测过程:对目标进行信息收集发现一处aspx站点,
这里可以注册用户,是有两套系统库是工用的,使用baidu语法在body内找到学号注册账号进来
添加单引号导致报错
添加payoload使其回显出数据库版本信息
另一处敏感信息泄露为某二级域名下的一处可以登陆/注册的地方
老思路先看一下js内有没有敏感信息或者接口
这里很多接口都包含bladex字符串,它是springbladex框架的强特征,该框架存在多个接口未授权访问
尝试fuzz一下子
找到一处未授权接口/api/blade-develop/datasource/list,这里泄露了所有的数据库连接字符串
使用navicat连接即可,后渗透部分为查找敏感信息获取到了Minlo信息
某川大学-信息泄露-供应链
检测过程:通过之前打的供应链发现存在目标相关信息
供应链预设管理账号,没什么好说的
某华理工-信息泄露-供应链
检测过程:通过之前打的供应链发现存在目标相关信息
同上
某东大学-代码审计-0day
检测过程:旧中旧代码是很早很早的代码了
home路由下的Merdata接口开启了Http远程访问,接收了两个参数sdate,toaccount,由于旧中旧是Mvc开发思想且把dll打包,直接使用反编译工具逆向一下dal这个文件即可
GetTestList方法内可以看到两个string的方法,这个类型的设定很重要如果是int类型直接没办法造成sql注入,stringBuilder方法加载的sql语句有些长,我们看后半部分
这里的toaccount参数被直接拼接进来的造成了SQL注入,只不过后面还有一处拼接,这里打延迟的话是双倍的时间
还有一处任意文件上传getshell,在其二级域名下的某站点
润尼尔套件,直接发包上传getshell
最后
没更新文章的日子里,在日复一日的奔赴热爱...如有不懂的问题,烦请私信。
