一次以红队的角度渗透测试某考试网站过程分享



      考试周临近下午,学校老师叫我和学弟参加一次红队活动,于是就有了下面这篇文章,令人

印象深刻的攻击目标就是英语四六级考试网站...(要是能打下来还要苦逼背单词干嘛)先开始前期

信息收集工作,使用zoomeye,nmap扫描目标IP段,收集二级域名等。


 
以上是我在收集信息的过程中收集到的一些网站目标,它们感觉容易受到攻击。(红队队员只需

输验证码试一下弱密码找出脆弱目标,捡起软柿子捏一下.通过多次测试和批量扫描,找出了好

多个薄弱环节。
 
 
公共网络暴露路由器
 
 
那个时候,zoomeye上有一个非常有趣的网页TP-linkxxxx,不也是路由器吗?单击进到后可以

看到这是一个暴露在公网下的路由器,登陆密码进行了比较简单测试,弱口令admin/admin进

到后台管理。之后,您会找到ping其他服务器的功能,难道这不是CTF最经典的命令注入吗hhh

?前面的JS禁用了特殊字符并设置了最大长度,发包后没有直接回显结果,burp改包没有效果

。使用console将过滤函数改为returntrue,然后将输入框max_length改长,从而实现命令执行

,最终实现root权限,成功地将权限提交。
 
 
Meblogant中间件漏洞,找到CVE-2020-2716存有于好多个服务器上,直接使用poc上传jspsh

ell获得最高权限.网页的url格式如http://domain/xxxCantroller.do?Method在尝试访问一个不存

在controller的方法时,会出现报错,使controller的方法全部暴露出来,可以看出这里的逻辑

应该是switch/case,而访问三个login方法找到有三个后台管理!背景中有两个初始背景,怀

疑CMS系统自己留下了两个背景模板,有初始登陆密码,但没有启用。在使用login1的背景

中,没有弱密码。
 
 
存取login2有一个非常有趣的界面:重新设置密码,抓包后找到loginCantroller的reqInitFlblu

方法被post请求。也注意到该网站有很多手册,经过一番查找后在一本手册中找到了初始登

陆密码:123qwe成功复原admin登陆密码并进到后台管理,后台管理有上传文件界面,但似

乎没有实现。随后前往此CMS系统官网下找到源代码,找到任意文件上传漏洞,最终拿下

shell。
分享: