一次渗透
首页 > 学习    作者:Iamyc   2021年3月30日 18:36 星期二   热度:89°   百度已收录  
时间:2021-3-30 18:36   热度:89° 

又是无聊的一天,干渗透干的毫无激情了!

什么,今天,打开电脑,找一个目标,然后找一下后台,输入账号密码,好的,进入后台

当然,权限非常低,只有一些测试数据,没有其他任何管理功能

上bp,抓包,手测

好的,找到一处注入,根据报错闭合,丢到sqlmap

--is-dba返回false,找admin表,dump用户名和密码两个字段

密码分两种,32位和16位的,根据之前的弱口令去cmd5加密看一下,好家伙,全没法解

根本不是任何一种cmd5上有的加密方法,估计加salt了

开始对着admin表陷入沉思,根据用户名撞,ok,撞进去几个,但没啥用,和之前的测试账号一样,毫无权限

继续看数据库表,有个emailconfig表,5条数据,是五个企业邮箱账号,smtp在腾讯,登录

找到一个url,存在/upload目录文件,那必须有上传点呀应该?

找adminrole表,再根据规则找高权限admin,找到一个,没撞进去

换一个,好的,客户账号,撞进去,账号密码是同一个

找到上传点,以为要绕一下,结果直接任意文件上传?

你以为就getshell了?没有,aspx的站,asp访问403,asp的其他类型,比如der什么的直接下载

那就aspx,不执行命令什么的倒是能访问,一涉及shell的什么就404、403,肯定有waf之类的

想起之前有次经验,传ashx也不行,不敏感的话能存在,有敏感语句直接403、404

最后合成个图片马,再传个aspx包含,404

aspx换个目录,再改一下包含路径,好的,访问没问题了,上蚁剑,成功

找到配置文件,直接telnet 1433,能行,上navicat,能连

接下来,又是dump的一段时间

毫无新意!


二维码加载中...
本文作者:Iamyc      文章标题: 一次渗透
本文地址:http://lang-v.com/first_cms/yc/emlog/src/?post=153
版权声明:若无注明,本文皆为“YC's Blog”原创,转载请保留文章出处。

返回顶部    首页    手机版本    后花园  
版权所有:YC's Blog    站长: Iamyc    程序:emlog