本文涉及相關實驗:利用sqlmap輔助手工注入 (本實驗主要介紹了利用sqlmap輔助手工注入,通過本實驗的學習,你能夠了解sqlmap,掌握sqlmap的常用命令,學會使用sqlmap輔助手工完成注入。)
事情的轉機在於某次挖掘edu的過程中,且漏洞都非常小白,無任何技術含量,師傅們看個熱鬧就好了,在校學生只想賺點生活費。嗚嗚嗚嗚~
主頁界面常規漏洞測試一波,如弱口令,以及登陸框注入,均無果,發現還存在一處密碼找回功能。
找回密碼界面。
每個參數挨個測試一下最簡單的注入加一個單引號’ 當然也僅僅限於為我這種偷懶型選手了,對於int型注入點如果做了報錯處理可能無法探測,各位師傅們挖洞的時候不要學我一樣偷懶哦。
運氣果然很重要啊,阿巴阿巴,直接出貨,且目標不存在waf直接上sqlmap跑了
Dba權限sqlserver數據庫,直接起飛,難得找絕對路徑寫shell了直接os-shell 成功獲取權限,而且可回顯。
通過企查查查詢了一下開發單位,發現資產過5000萬,接下來只要案例滿足10例就可了,fofa查詢相關關鍵字,收集一波站點。
還算不錯,阿巴阿巴,整理整理繼續肝,一個良好的開端從有洞開始,
於是想着寫一波腳本,批量跑一下admin賬戶的弱口令,這么多站點,我不相信沒有一個弱口令,大概看了幾個站點,發現一模一樣的站,於是直接在某個站點本地F12 看他登陸請求包,然后寫腳本,批量跑一下
又嘗試了另一種方式,感謝fengxsone老表給我說的這個selenium自動化測試模塊,阿巴阿巴,順便拿來練練手,這里簡單介紹一下呀,百度無所不能。
通過pip install selenium 或者在pycharm中搜索安裝模塊即可
這個模塊呢,非常非常簡單哈,安裝完成之后,需要下載對應瀏覽器對應版本的驅動,之后就可以愉快的玩耍了,有興趣的師傅,記得看開發手冊吖,我覺得我講的太low還是打擾了
Run一下之后就是一個慢慢等待的過程咯
大約跑了20幾個站點之后,成功使用admin—123456進入后台。我的腳本也gg了,沒有寫跳轉的操作,我菜,阿巴阿巴
進入后台后,一通操作,找到一處上傳點,but上傳到的路徑居然傳到一台文件服務器上面去了,雖然能拿到一個文件服務器的shell,但是估計其他站的文件也是傳在這個服務器上面,溜了溜了。
繼續fuzz,注銷登陸,之后重新登錄同時使用burp抓包,單獨拉出來放包,請叫我打碼小王子。
發現並未存在session或者token參數。於是直接到其他站點,隨意輸入賬戶密碼,替換返回包。直接越權到admin賬戶。
接着fuzz,該測的測了,但在密碼重置處倒是有點東東,身份證只要輸入存在的賬戶,手機號輸入自己的即可將驗證碼發送到自己的手機
所以說這里我們只需要獲取到可登陸的身份證即可用自己的手機號接受到驗證碼,於是登陸,后台,在用戶管理界面抓包。之后就是慢慢刪除cookie的過程了,這里推薦一下burp的這個功能,賊好用
在這個功能模塊中,可以快速的fuzz cookie簡直不要太舒服,最后發現只需要一個schoolcon參數,即可未授權訪問,而且schoocan參數在加載頁面時就已經有了
整理開交,阿巴阿巴。
假裝一段時間后~~證書下來了,嚯嚯,起飛。
阿巴阿巴,太沒有技術含量了,各位師傅們見諒,才入門還要學習的東西太多了,有想要一起學習互相監督滴嘛?我的qq807483402 另外 歡迎大家關注微信公眾號F12sec啦我們是一群有夢想的網絡安全愛好者喲,阿巴阿巴。