官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
本次渗透的主要流程为:通过越权漏洞,得到高权限的账号,复用cookie后登录到后台,利用SSRF配合文件上传成功getshell;登录主机后,逆向dll和exe文件,从中发现提权的重要信息,最后通过dll劫持成功完成提权。整个渗透过程曲折但充满惊喜,下面开始此次渗透之旅。
一、信息收集
nmap -sC -sV -sT -T4 -Pn 10.10.11.238
常规目录扫描后,并没有特别发现,于是在做一波子域名收集,发现一个子网站。
打开主网站看看,是一个病人挂号系统。
子网站是一个医生登录系统;
下面开始进行漏洞挖掘。
二、漏洞挖掘
越权访问
在主站上注册登录后如下;
翻了各项功能,都没有发现可利用的点,返回去细细看抓包的结果,有新的发现;
可以看到POST包里面有个Acctype参数是=1的,将它修改成2,然后发包,
发现是doctor身份;
但经过测试这里并没有更多有用的功能。
联想到刚才的医生登录系统,看看能不能cookie登录。
先抓取到主站身份是医生的cookie;
然后直接访问子站医生登录系统,修改cookie为我们主站抓取到的cookie;
果然登录成功了。
因为后续要持续修改cookie,这里介绍个火狐浏览器的小工具,使用方便。
到这里就通过越权访问漏洞成功登入了医生的后台。
SSRF结合上传实现getshell
成功的进入后台,左边的选项栏里,Issue Prescriptions的选项里面有个url的表单,写进去本机ip,会读取内容。
