实战分享：信息收集到getshell全过程

前言

声明：本次测试仅供学习使用，请勿未经授权进行渗透测试，切勿用于其他用途！

本文是4月份活动的投稿文章，来自M78团队的伊电童姐姐，以下是M78团队的公众号。

Part.1 漏洞挖掘

一次简单的黑盒联动

大佬们请勿批评，大佬们请勿批评，大佬们请勿批评

日常挖掘EDU漏洞

发现了一个医学系统，需要完全打码，如下图所示：

首先尝试注入，但基本没有成功，这里就不截图了。

然后尝试弱口令，但也无法通过验证。

尝试抓取响应包，查看内容，发现可能可以通过修改响应包绕过。

将下图中的false改为true：

可以看到出现了一个未定义的错误。

多出了一个管理桌面，继续点击进去。

不出所料，页面转圈后又弹回主界面。

接下来尝试在fofa上搜索相同类型的网站。

找到一个提供账号的同类型网站。

找到某职业学院，提供了一个专家账号。

尝试抓取专家账号登录成功的POC。

感觉这种包有潜力。

发现该账号可以正常使用。

进入专家后台。

尝试提交几十个低危漏洞以提升排名。

结果可想而知，未通过，真是气人。

渗透到此结束。

？？？？？？？？？？？？？？？？？？？？？

搞错了，再来.mp3

审核人员告诉我，我没有管理权限。

那么，如果我能找到管理员的POC，是否可以利用该漏洞进入管理员桌面呢？

直接开始。

开始探索该系统。

我用专家的POC访问其他网站。

在另一个网站发现该系统会记录网站登录的日志。

尝试查找管理员的登录日志。

发现了一个名为adminqfnu的用户登录记录。

这个用户名实在猜不出来，也不是该大学的拼音开头。

有了用户名后尝试爆破密码。

弱口令依然无法验证，感觉无望了。

要不尝试用用户名作为密码试试？

我直接尝试，结果成功登录了。

弱口令真是万岁。

这时候我继续抓取管理员的POC。

发现已经可以通杀其他站点。

进入桌面看看是否有后续鉴权。

发现可以直接进入管理员后台，这里又可以混一波中危漏洞。

继续深入测试。

找到头像管理处。

尝试文件上传。

正常测试功能，发现功能点可以使用。

尝试绕过前端验证。

抓包修改后缀。

直接失败，看来不行。

jsp被限制了，其他脚本文件可以正常上传，这里不截图了。

尝试绕过上传。

通过大小写不敏感判断出该系统为windows。

尝试利用windows特性。

添加空格后上传试试。

没想到这么快就上传成功了。

访问地址看看。

冰蝎马上起飞了。

获得system权限。

感觉良好，人已芜湖。

快乐又回来了。