一次针对EduSrc的挖掘
0x00前言
?
最近是大事沒(méi)有,小事不斷,被調(diào)遣到客戶單位做HW藍(lán)方,沒(méi)啥意思,整天盯著防護(hù)設(shè)備等待告警,正好一王者大佬最近在挖EduSrc,讓幫著搞一搞,在50星榮耀王者的誘惑下,我準(zhǔn)備開啟我的EduSrc之旅。
0x01 年輕人不講武德
通過(guò)對(duì)某個(gè)大學(xué)的C端掃描,掃到了一個(gè)學(xué)生管理系統(tǒng)
簡(jiǎn)單測(cè)試了一下,發(fā)現(xiàn)抓包驗(yàn)證碼不斷刷新,而且會(huì)提示"用戶名不存在",這里就可以進(jìn)行賬號(hào)密碼的爆破。
很顯然,我的百萬(wàn)大字典不配爆破,這網(wǎng)站不講武德,放棄爆破。
?
0x02 偷襲
通過(guò)目錄掃描,掃描到未授權(quán)頁(yè)面
http://mabaoguo/admin/manage.asp
此未授權(quán)頁(yè)面包含所有的用戶ID值,怪不得我的字典沒(méi)爆破出來(lái),原來(lái)賬號(hào)全是中文漢字,好家伙,以為我不會(huì)爆破了嗎,反手就是一個(gè)偷襲爆破。
爬取所有id值進(jìn)行爆破,爆破到大量弱口令,密碼均為123456,但是用戶都為普通用戶。
利用爆破的賬號(hào)進(jìn)行登錄
發(fā)現(xiàn)網(wǎng)站存在兩處上傳點(diǎn)
此處上傳資源分享,因?yàn)橘~號(hào)權(quán)限問(wèn)題,此賬號(hào)不可以上傳。
另一處上傳點(diǎn)為導(dǎo)入數(shù)據(jù)的功能,只能上傳execl文件。
0x03 接化發(fā) 這次我沒(méi)大意 成功拿下
抓包測(cè)試上傳
上傳的文件沒(méi)有路徑回顯,此時(shí)測(cè)試一下是否進(jìn)行了重命名,再次上傳相同文件名文件。
發(fā)現(xiàn)文件名變了,說(shuō)明上傳的文件沒(méi)有進(jìn)行重命名,下一步測(cè)試上傳文件的路徑,經(jīng)過(guò)fuzz了多個(gè)目錄,都沒(méi)有找到文件位置。
再回到上傳包,嘗試能否跳目錄進(jìn)行上傳
文件名前面加上../上傳,發(fā)現(xiàn)上傳成功的文件名又變成了6666.xls
說(shuō)明上傳的文件跳目錄了
最后測(cè)試發(fā)現(xiàn)../../就到網(wǎng)站根目錄了
找到文件位置后,開始測(cè)試上傳后綴
經(jīng)過(guò)多次測(cè)試發(fā)現(xiàn)為上傳白名單,嘗試多種方法,最后利用00截?cái)喑晒etshell
總結(jié)
以上是生活随笔為你收集整理的一次针对EduSrc的挖掘的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Bypass WAF实战总结
- 下一篇: 分析|CVE-2021-3156-sud