记一次web登录通杀渗透测试到GETSHELL——续篇
2022-8-20 07:56:29 Author: 雾晓安全(查看原文) 阅读量:22 收藏
免责声明
由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

0x01 前言

昨天我发了一篇文章,下午有人找到我说某位大佬顺着我昨天文章的思路getshell了,我从睡梦中立马惊醒前来查看发过来的复现文档..........

0x02网站定点信息收集&寻找GETSHELL点

打开目标站点 单纯一个登录页面:

试了下常用弱口令不成功 这里就不放图了
先查看一下网站配置信息
嗯 windows服务器加IIS中间件,说明解析的木马是asp系列木马
看了下是vue框架 先F12大法走一波
查看到了两个地址

访问一下
一个是登录 一个是首页
登录的就不放图了就是第一张图页面
第二处地址访问到了貌似是后台首页,但是也没什么东西 是未授权产生的页面没有任何功能

既然鉴权这么不严谨,那就深入挖掘下看看有没有能查看到用户列表的地址
这里就不用F12了,直接使用一个熊猫插件 已经帮我把页面存在的地址全部列出来了

一般就看LIST这种类型的地址就行了

访问:
过多没用的地址截图就没放出来了
直接放成功的图
可以看见成功拿到了这系统上的三个账号

这里直接入手第一个老师账号
果然弱口令是YYDS

看了下没多少功能,看看是否能越权 已经很久很久没挖过越权这种漏洞了
退出重新登录,抓取登录响应包,将所有可疑参数都修改为1 role什么的修改为admin

放包后,成功垂直越权至管理员

0x03后台使用编辑器漏洞进行文件上传

看看能否getshell
找找上传点
在新增资源中看到了ueditor编辑器poc上一下

看到这个不用多说了
经过一番周折后,最终也是成功的getshell

0x05 总结

罪魁祸首还是未授权访问的接口暴露在外面使我们成功访问到后台某功能点拿到了正确账号密码后进行授权进入了后台,此时所有的功能都可以查看使用,后来寻找到一处ueditor编辑器,使用网络公开poc进行检测得知存在此漏洞,进一步利用,最后成功GETSHELL。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247494771&idx=1&sn=7bac012849b420364b875a51a3272f60&chksm=ce6823f5f91faae3d085766f4913be2bf44b77dc7a493b0ad61554095a37d76e84a90f6bd15d#rd
如有侵权请联系:admin#unsafe.sh