前言
首先庆祝自己收获500粉丝,哈哈哈😝。给大家加点料。
好久没有发渗透测试的文章了,翻找之前众测了某厂商,把拿到shell的过程简单写一下。
锁定目标
在海量的子域名中,长时间的探测,发现http://insura.xxx.com/ 该域名没有任何防护。
image.png
扫描目录
image.png
扫描发现Admin、business、logs、WebService 四个目录
Admin的后台
image.png
business的后台
image.png
logs 应该是记录日志的文件夹,可以使用日期的格式进行爆破log日志。
如2020-08-08.gz、2020-08-08.zip
WebService 只有一个测试页面。
image.png
万能密码
首先看Admin这个后台管理系统。
爆破admin用户无果,爆破普通用户无果。没有任何的提示信息。
灵魂输入万能密码'or '1'='1完美进入后台。
思考:这里可以用burp的scanner直接扫描该后台,也可以发现sql注入
image.png
ueditor 编辑器
点击后台的"附加险管理",发现ueditor 1.4.3编辑器
image.png
只记得该编辑器的aspx版本存在漏洞,jsp版本下未发现漏洞。
business 后台
再看business后台。
存在admin用户,爆破密码无果,sql注入未果。
image.png
敏感js页面
查看访问business的数据包。
image.png
有多个js页面加载。
查看每一个js,并批量检索path、include、upload、download等敏感参数。
当检索upload时,有发现。
image.png
尝试访问jsp/include/upload/globalUpload.jsp,竟然可以越权访问。
image.png
果断上传jsp木马,点击竟然没有反应。
F12 定位标签,看到点击触发onclickto 方法。
image.png
console控制台输入该方法javascript:upload_onClick(),也没有效果。
image.png
回过头再次查看burp中的数据包,在访问该上传页面时,又有好多js加载进来。还是重复之前的操作,查看js,检索upload、path等关键字。
检索download关键字时,发现任意文件读取漏洞。
image.png
image.png
检索upload关键字,指向了business/jsp/include/upload/upload4Global.jsp?uploadDir=upload/dialog,访问该页面。
image.png
就是这个上传功能,点击上传按钮依然没有反应。
console控制台再次输入javascript:upload_onClick(),可成功上传。
image.png
网友评论