近期漏洞挖掘又有小發現,雨筍教育小編來給大家分享干貨了
寫在前面
最近挖的0day,可以getshell眾多學校,這里分享下挖掘技巧,過程也是挺奇幻的~
過程
1.首先訪問目標站點:http://x.x.x.x/default.aspx
可以看到該頁面有個登錄框,右上角也有個登錄按鈕。經過后面的測試發現該頁面的登錄框登錄完只能在前台留言;而右上角的那個登錄按鈕點擊進去是后台登錄的地址。
該頁面的登錄框:
右上角的登錄按鈕點擊跳轉的后台:http://x.x.x.x/admin/login.aspx
那么這里我們明顯不知道用戶賬號和相對應的密碼,這里必須得開始進一步信息收集了。
2.經過了一些時間的信息收集,我發現訪問http://x.x.x.x/admin
發現該路徑下存在目錄遍歷漏洞。
這倒給我的信息收集省下了不少的麻煩。這里直接來找找有沒有敏感文件和敏感信息泄露:
最后發現/admin/userfiles目錄下存在一些敏感文件,這里下載其中的2018在校生綜合信息查詢.xls下來進行查看:其中學籍號是這次getshell最為關鍵的信息,因為根據信息收集發現,登錄的用戶賬號和相對應的密碼初始都為學籍號和學籍號
后面經過測試,用了該產品的學校的登錄的用戶賬號和相對應的密碼初始都為學籍號和學籍號;不是學校的就是ID號和ID號。
3.然后這里我開始竊喜,以為這里就可以直接進入后台了。可惜,事情並沒有我想的這么簡單。
這里直接拿其中一個學籍號登錄,卻彈窗提示我登錄失敗,用戶權限限制,無法登錄后台!
這里是因為我的賬號是學生權限,權限太低所以無法登錄后台。那如果是管理員的權限肯定就可以登錄進去了。可是我找遍了剛才目錄遍歷泄露的敏感文件,經過了大量時間的信息收集,都沒有收集到后台管理員的敏感信息。那這里該怎么辦?難道就此放棄嗎?所以說好運氣會眷顧努力的人。在我繼續在/admin目錄下信息收集時,我偶然間發現了PowerConfig.aspx文件,看意思像是權限配置的文件,我直接點了進去,沒想到這里發現了一個未授權訪問的頁面:
http://x.x.x.x/admin/PowerConfig.aspx
該頁面可以給所有用戶分配登錄權限和應用權限,這里我直接給學生用戶分配了允許進入后台的登錄權限
4.給學生用戶分配后台權限后,訪問http://x.x.x.x/admin/login.aspx,以其中一個學籍號登錄:登錄成功,這里看到了所有用戶的信息
5.然后getshell就十分簡單了,在其中的下載專區可以上傳ashx木馬
然后用burpsuite抓包,點擊"下載"查看,查看到馬的地址:
執行ipconfig
至此,完成本次0day通用漏洞的挖掘。文章中所有通用漏洞均已提交至cnvd並通過。
*本文章僅供技術交流分享,來源於網絡,請勿做未授權違法攻擊,雨筍教育不負任何責任。具體請參考《網絡安全法》。
滲透課程學習咨詢:15386496074 加v進交流群