我是个没用的安服仔

接到一个任务

两个目标:某一线市教育局跟某500强集团两个主站,要求是要getshell,主站get不了就去找归属资产get也行

先看教育局

主站一通乱点全被waf拦截了,主站收集了站点上出现的所有下属的资产

发现在同一个ip段,猜测可能整个段都是他家的,直接扫c段看到一堆开了web服务的,丢给我的富婆扫一下

偶尔出现几个tomcat页面几个swagger接口但是利用不了,弱口令进去几个代码仓库管理系统但是找不到getshell的点,有个jumpserver堡垒机但是漏洞不存在,用域名证书查子域也啥都没有,旁站全是其他gov,不敢动,偶尔出现几个个人站点,但是有的wp5.7.2没发现什么插件,有的是dzx3.4没搞头,fofa也没发现什么能利用的,教育局先拉闸

转到某集团

老规矩收集资产,把能点的都点了,没有可以利用的点,ping一下发现上了知道创宇的cdn,fofa搜一下集团名字,筛选一下出现700多个结果。但是没有会员只能看第一页(卑微),发现全是集团的国外品牌vpn登录页

搜了一圈没有这个vpn牌子的漏洞,拉闸
整理一下得到的东西

在供应商平台发现可以注册,注册的时候上传营业执照有个上传漏洞

虎躯一震,感觉有救
但是最后发现目录不解析,文件重命名,只能传个html,拉闸

扫这个ip的端口开放情况,最后根据端口情况对一些登录做爆破,拉闸,子域名拉闸,找到一个过期的域名,拉闸

发现资产

继续闲逛集团官网,在关于集团处看到了

再次虎躯一震,马上去搜一下第一家公司的情况,得到三个域名

主站一通乱点拉闸,fofa搜了一下发现这个公司下面有一个支付平台而且可以注册商户,但是跟上一个上传漏洞类似,拉闸,扫端口发现有一个自研商城系统,但是注册功能异常,注入xss全被waf拦了,爆破拉闸,放弃直接去看第二家公司,一通操作得到几个资产

测到一半发现没有什么可以利用的点,眼看资产就要测没了,心已经凉了一半,但是当我眼角瞄到可以注册的时候又开始感觉有救,一通操作下来结合代码审计的经验感觉下载处后端会这么写
/uploadfiles/2018/02/{$filepath}
试了一下发现下载处的确可以用../穿越目录进行文件访问
比如从下载目录到首页


但是访问config的后缀文件就会被拒绝,穿越系统目录也会被限制,拉闸,权限被限制的死死的,
考虑到是aspx,尝试找找注入,在首页各种功能点一遍,看到一处可疑的url /xx/xx/list_1.aspx,根据以往代码审计的经验感觉这里后端会这样写:list_{$id}.aspx,尝试一下,waf拦截了

双重编码可以绕过,但是后端只解一次

从报错信息猜测是云空间之类的,站长之家搜一下同ip网站

旁站3个,但是没有利用的点,端口扫了一下没看到有什么面板
找万能的群友看看有没有什么姿势

考虑到时间紧迫不想再爆破了

转折点

身体开始颤抖了,抽烟,冷静,还有最后一个扫出来的子域名asp站,打开,点击产品列表,愣住

好家伙,sql注入靶场都没你这么明显,凭借年仅20岁但是有30年工作经验的我感觉这里就是有注入,直接上sqlmap

继续转折

因为过于兴奋导致精神错乱之下没注意看数据库类型,只想到之前的报错里的绝对路径,赶紧试一下os shell,结果

冷静下来终于看到了dbms:microsoft access

结束

注入shell不了那就登录后台shell吧,但是刚跑完表时间到了要上报了,罢了,这么菜getshell不了sql注入总得报一下吧


声明:
本文章用于学习交流,严禁用于非法操作,出现后果一切自行承担,阅读此文章表示你已同意本声明。

Disclaimer:
This article is for study and communication. It is strictly forbidden to use it for illegal operations. All consequences shall be borne by yourself. Reading this article means that you have agreed to this statement.