0x00 前言

閑來無事寫篇水文

0x01 SQL注入

準考證查詢功能

填入單引號

頁面報錯500

兩個單引號

頁面正常,顯示無報名資料

這里首先構造一個true條件,先獲取功能點

顯示信息頁面有個下載準考證

打開是個pdf

查看數據包,發現是根據post的id參數生成pdf文件

這里經過測試,數字型注入35個字段

id=-2) Union(Select(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19),(20),(21),(22),(23),(24),(25),(26),(27),(28),(29),(30),(31),(32),(33),(34),(35) )#

成功在pdf內顯示數據

繼續注入獲取數據表system_manager字段有

manager_id,manager_account,manager_passwd,manager_passwd_salt,manager_name,manager_admin,date_modify,manager_status,manager_lang

字段里面有個manager_passwd_salt嘗試讀取一下看看密碼的鹽

感覺解開無望,換一個思路,注出所有用戶

ming232,sysadmin,vtsh008,vtsh075,vtsh211,vtsh213,vtsh261,vtsh281,vtsha36,vtshL07

嘗試后臺登入,最終通過爆破用戶名成功登入后臺但是非管理員權限

0x02 超級管理員

最終爆出一個不是管理員權限,但是能夠修改管理員的用戶(為什么可以修改呢)

然后重置sysadmin的密碼

然后成功登上超級管理員

因為功能點少,我嘗試了所有功能(菜的一批)也沒有找到能getshell的地方

0x03 峰回路轉

在pdf底部有一個二維碼,掃描一下是得到一個該校的另外一個ip鏈接

存在access.log,得到后臺地址/manage_system/manage/

前臺存在sql注入,有waf且轉義單引號等,單引號可以用16進制繞過,waf用emoji成功繞過

空格替換為

注出密碼

登入后臺

0x04 GetShell

后臺找了個圖片上傳的地方

通過換行繞過waf成功上傳php

30818-8wse1nm4bcd.png

成功

0x05 提權

查看版本

2.6.32-131.0.15.el6.x86_64 #1 SMP Sat Nov 12 15:11:58 CST 2011 x86_64 x86_64 x86_64 GNU/Linux

滿足臟牛提權條件,直接上臟牛成功提權

查看開放端口有開放22-ssh,但是嘗試連接無法連接到端口

上Neo-reGeorg將ssh代理出來

然后連接127.0.0.1,查看權限為root

滲透測試 引號
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接