本文联合其它用户案例分析讲授挖掘某双一流站点的过程,包罗日志泄露毛病深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危毛病。
信息搜集:
web站点的话从域名,ip等入手范围太大了,于是决定直接从小步伐入手。
微信搜索学校名称,便直接可以通过公众号,小步伐寻找目标。这里注意如果你要挖掘某edu的毛病,就可以多关注他们的公众号,小步伐,看看最近有没有什么新的功能出现,这种功能点毛病比较轻易出现。
于是我直接在某公众号发现了一个新功能:报名入口。临近结业,所有有很多公司可能会来学校宣讲或者招人,这种时候就很有可能出现新功能,本案例就是。
[img=720,517.2537313432836]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641147.png[/img]
照常点击功能,出现跳转,直接转欣赏器测web页面。
[img=720,356.734693877551]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641148.png[/img]
日志泄露nday:
在登陆时发现限定了登陆时间,而目前已经不在时间内,可见这其实就是一个临时的系统。
我查抄js信息尝试调试js绕过,没成功就通过报错发现为thinkphp框架,直接上工具一把梭。
链接:https://github.com/Lotus6/ThinkphpGUI
[img=720,202.53790005614823]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641149.png[/img]
只可惜只存在一个日志泄露的nday,没能shell。
根据日志泄露目录可以发现可以或许遍历近一年的日志信息,此时的思路就是从日志中看能不能拿到管理员或者其它用户登陆的敏感信息,例如账号密码之类,如许就可以扩大日志泄露危害,进一步挖掘利用。
【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC毛病分析报告
④ 150+网安攻防实战技能电子书
⑤ 最权势巨子CISSP 认证测验指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
参考文章:
https://cloud.tencent.com/developer/article/1752185
这篇文章就是利用kali自带工具whatweb探测出thinkphp框架:
并通过dirb扫除.svn泄露:
[img=720,1074.6666666666667]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641152.png[/img]
再通过svnExploit工具举行下载利用:
链接:https://github.com/admintony/svnExploit
并在svn中发现大量日志泄露:
并通过找到最新的日志信息,找到密码hash值,通过cmd5实现解密并成功进入后台:
https://blog.csdn.net/qq_41781465/article/details/144092247
这篇文章也是在日志信息中成功找到账号密码,配合dirsearch扫出后台,成功登陆:
[img=720,352.7056019070322]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641155.png[/img]
不过我这越日志信息量虽然很大,且经过我实际尝试也确实会记录我的一些操作信息,但翻遍日志却并貌似不存在敏感信息:
[img=720,336.21719457013575]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641156.png[/img]
但我发现在日志中泄露了sql语句,貌似可以寻找对应接口,参数拼接成数据包尝试sql注入,但我找遍了日志都没有发现可以直接利用的接口或者代入了sql语句的参数。
不弱的弱口令:
翻找js文件,尝试直接拼接登陆验证接口,和其它查询接口全部失败。
不过根据找到的其它js路径发现其目录结构根本拼接在/syl/下,于是根据经验在目录后拼接admin,系统跳转到后台管理员登陆界面,输入账户为admin页面显示密码错误,输入其它账户页面显示账号不存在,可知账户为admin。
[img=500,331.0854166666667]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641157.png[/img]
[img=500,296.16319444444446]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641158.png[/img]
根据页面特征制作字典并加上弱口令top500的内容,尝试爆破成功:密码为页面根路径字母syl+88888888。
这种:syl88888888一看就是弱口令,但如果你只是通过现存的什么top100,top500这种字典是爆破不出来的,所以在举行渗出测试时一定还要根据页面特征,关键字,系统名称首字母等信息制作特定的社工字典尝试。
比如kali自带的cewl工具,便是一种基于爬虫,对页面貌录信息举行循环爬取再生成字典的工具。
工具分析文章:https://www.cnblogs.com/jackie-lee/p/16132116.html
成功进入后台。
[img=720,77.70566037735848]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641159.png[/img]
并发现大量信息泄露:
[img=720,182.2085889570552]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641160.png[/img]
存在四千多条用户敏感信息泄露。
[img=720,131.16831683168317]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641161.png[/img]
爬出靶场的高危:
通过dirsearch扫描目录,看有没有结果。
直接扫出来了好几条.git路径,直接访问泄露的路径看不出什么敏感信息。
但很明显站点存在.git信息泄露毛病,一个我曾经只在ctf技能树复现过的毛病。
Git就是一个开源的分布式版本控制系统,在执行gitinit初始化目录时会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除而是直接发布到服务器上,那么攻击者就可以通过它来规复源代码,从而造成信息泄露等一系列的安全问题。
尝试githack举行探测利用(只能python2利用)
工具链接:https://github.com/BugScanTeam/GitHack
该工具根本原理就是解析.git/index文件,找到工程中所有的文件,文件名,再去.git/objects/文件夹下下载对应的文件,并通过zlib解压文件并按原始的目录结构写入源代码
结果我直接把整个git扒了下来,得到站点整套源码,于是通过vscode打开分析:
[img=500,757.0093457943925]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641162.png[/img]
随意翻找文件,找到mysql数据库账号密码,于是扫描端口发现开启3306,尝试连接,发现似乎做了IP白名单限制,于是放弃。
再翻找文件,发现居然直接把后台部分用户的信息写在了.sql文件内,包罗姓名,身份证,电话等信息,不过只有几百条。
[img=720,175.897903372835]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501231641163.png[/img]
此处其实还可以深入对php源码举行审计,发现更多高危毛病,但我却不会php代审,所以打到这里就收工了,觉得应该可以拿证了。
整个渗出过程很顺利,大概就两三个小时,还是信息搜集做得好,否则都不一定能出成果,同时需要多阅读毛病挖掘文章,如许在渗出测试过程中才能对毛病利用更加熟练。
更多网安技能的在线实练习习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
