对国有企业后台的渗透测试拿权限过程

             前不久闲着没事,在企业发掘zjcert的漏洞,在fofa上千辛万苦尝试后台管理弱口令登陆,尝试尝试,忽然发觉1个网站和以前测完的某一房屋建筑支持平台系统是由相同企业给予的技术服务。用之前的弱口令试了一下下,果不其然不可以。又想到之前的系统不仅对外开放在一个服务器端口上,因此拿nmap略微检测了一下下服务器端口,在同一服务器端口发觉了许多网站。因此许多一小段悠长的弱口令尝试环节。因为全部都是同一个企业给予的技术服务,因此全部都是运用以前测的弱口令来尝试,总算摸到了1个后台管理。

这一后台管理说来话长,进到后台管理后发现了上传文件的点,千辛万苦fuzz了1个早上,在和好朋友(啊不要啊!)熊哥的激战1个早上后,总算取得成功getshell。中午饭稍微休息一下,下午三点正提前准备鼓足干劲提高管理权限,我兴高采烈连上我的马子,结论换得的则是生疏。再拿弱口令登陆了一下下后台管理,换得的也是登录失败。弱口令被应急修补了,我的马也被杀了,因此这一部分就无法给弟兄们展现图片了。很喜欢让子弹飞一会里的一段话:敢杀我的马!换条门路再次日站!前边说到这一ip地址的许多服务器端口全部都是对外开放了https服务的,因此许多一小段悠长的后台管理弱口令检测,仍然发现了某处默认设置口令取得成功登陆了后台管理.下面就对该后台管理的各种功能模块开展检测,最后在功能模块点系统设置->统计信息制定->国企资产网络资源排查处理明细表处发现了上传功能模块点

抓个包看一下

检测发觉,根据改动name基本参数的shell.xlsx为shell.aspx后,前面回到的模版名字也会变成aspx后缀名,可是并没有被重新命名为shell,仍然为国有资产处置归纳导出模版.

觉得是上传成功了,下面发现了相对路径就能连上大家的马子了,依照经历而言,一般通过在线下载功能模块全部都是根据get请求浏览文件路径开展在线下载,就可以得到文件的相对路径,基础理论科学合理,实践活动刚开始。

可是抓包后发觉,是根据rdid基本参数来操纵下载文件的内容,仔细的朋友们也发觉了不久上传文件时也存有这一rdid的基本参数,可是这儿的确沒有发现了相对路径,只有换一个方式。就在我心如死灰的情况下,在系统设置的系统参数配置中发现了导出模版相对路径

兴致勃勃的去浏览/uploadfile/template/stat/国有资产处置归纳导出模版.aspx,结论却沒有解析

这一文件目录应当就沒有解析aspx的文件,可是系统设置里可以修改系统导出模版相对路径,立即改成/根目录下,根目录下不太可能不解析。改动为根目录后传上去,果不其然解析了,上冰蝎.尽管沒有获得管理员的管理权限,可是也就点到为止了,离开以前也把系统配置文件恢复了.

分享: