實戰 | 記一次有趣的滲透測試

0x00 前言

閑來無事寫篇水文

0x01 SQL注入

準考證查詢功能

填入單引號

頁面報錯500

兩個單引號

頁面正常，顯示無報名資料

這里首先構造一個true條件，先獲取功能點

顯示信息頁面有個下載準考證

打開是個pdf

查看數據包,發現是根據post的id參數生成pdf文件

這里經過測試,數字型注入35個字段

id=-2) Union(Select(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19),(20),(21),(22),(23),(24),(25),(26),(27),(28),(29),(30),(31),(32),(33),(34),(35) )#

成功在pdf內顯示數據

繼續注入獲取數據表system_manager字段有

manager_id,manager_account,manager_passwd,manager_passwd_salt,manager_name,manager_admin,date_modify,manager_status,manager_lang

字段里面有個manager_passwd_salt嘗試讀取一下看看密碼的鹽

感覺解開無望,換一個思路，注出所有用戶

ming232,sysadmin,vtsh008,vtsh075,vtsh211,vtsh213,vtsh261,vtsh281,vtsha36,vtshL07

嘗試后臺登入,最終通過爆破用戶名成功登入后臺但是非管理員權限

0x02 超級管理員

最終爆出一個不是管理員權限,但是能夠修改管理員的用戶（為什么可以修改呢）

然后重置sysadmin的密碼

然后成功登上超級管理員

07387-pya1vydvyro.png

因為功能點少,我嘗試了所有功能(菜的一批)也沒有找到能getshell的地方

50478-tnhv9xizlpk.png

0x03 峰回路轉

在pdf底部有一個二維碼，掃描一下是得到一個該校的另外一個ip鏈接

10741-a7o29rel9fd.png

存在access.log,得到后臺地址/manage_system/manage/

57558-4y5bqalavnr.png

前臺存在sql注入,有waf且轉義單引號等,單引號可以用16進制繞過，waf用emoji成功繞過

空格替換為

59735-8cee61tnz3.png

63639-y25uolwfhj.png

注出密碼

92029-g9uecd44phi.png

登入后臺

27390-ncx92fsch6o.png

0x04 GetShell

后臺找了個圖片上傳的地方

18736-xjqt0350yg.png

通過換行繞過waf成功上傳php

30818-8wse1nm4bcd.png

成功

30319-172n14f6dsc.png

0x05 提權

查看版本

2.6.32-131.0.15.el6.x86_64 #1 SMP Sat Nov 12 15:11:58 CST 2011 x86_64 x86_64 x86_64 GNU/Linux

滿足臟牛提權條件，直接上臟牛成功提權

94726-c9u07mrow8w.png

查看開放端口有開放22-ssh，但是嘗試連接無法連接到端口

78739-ofv046wfnmb.png

上Neo-reGeorg將ssh代理出來

70655-o69f32d5srg.png

然后連接127.0.0.1,查看權限為root