0x01 SQL注入

準考證查詢功能

73327-slqqdgm5hbs.png


填入單引號

56796-qualdih4dbf.png


頁面報錯500

65936-81um8p96fp.png


兩個單引號

14002-ysq2k0hdab.png


頁面正常,顯示無報名資料

98470-kgdpmaoxi7.png


這里首先構造一個true條件,先獲取功能點

44785-c61vo5xc0ip.png


顯示信息頁面有個下載準考證

25809-x5jw2wb65u.png


打開是個pdf

51297-e73afhk0x3.png


查看數據包,發現是根據post的id參數生成pdf文件

01019-qes1y54wmk.png


這里經過測試,數字型注入35個字段

id=-2) Union(Select(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19),(20),(21),(22),(23),(24),(25),(26),(27),(28),(29),(30),(31),(32),(33),(34),(35) )#

成功在pdf內顯示數據

54743-h8cgsfs1w9u.png

繼續注入獲取數據表system_manager字段有

manager_id,manager_account,manager_passwd,manager_passwd_salt,manager_name,manager_admin,date_modify,manager_status,manager_lang

字段里面有個manager_passwd_salt,嘗試讀取一下看看密碼的鹽

62730-rm7dn8h2xyf.png


感覺解開無望,換一個思路,注出所有用戶

ming232,sysadmin,vtsh008,vtsh075,vtsh211,vtsh213,vtsh261,vtsh281,vtsha36,vtshL07

?

嘗試后臺登入,最終通過爆破用戶名成功登入后臺,但是非管理員權限

68119-uafqqxxd2t.png

0x02 超級管理員

最終爆出一個不是管理員權限,但是能夠修改管理員的用戶(為什么可以修改呢)

53784-yqv8vbekt9r.png

然后重置sysadmin的密碼

21116-qwdr2lsxti.png

然后成功登上超級管理員

07387-pya1vydvyro.png

因為功能點少,我嘗試了所有功能(菜的一批)也沒有找到能getshell的地方

50478-tnhv9xizlpk.png

0x03 峰回路轉

在pdf底部有一個二維碼,掃描一下是得到一個該校的另外一個ip鏈接

10741-a7o29rel9fd.png

存在access.log,得到后臺地址/manage_system/manage/

前臺存在sql注入,有waf且轉義單引號等,單引號可以用16進制繞過,waf用emoji成功繞過空格替換為

59735-8cee61tnz3.png

63639-y25uolwfhj.png

注出密碼

92029-g9uecd44phi.png

登入后臺

27390-ncx92fsch6o.png

0x04 GetShell

后臺找了個圖片上傳的地方

18736-xjqt0350yg.png

通過換行繞過waf成功上傳php

30818-8wse1nm4bcd.png

成功

30319-172n14f6dsc.png

0x05 提權

查看版本

2.6.32-131.0.15.el6.x86_64 #1 SMP Sat Nov 12 15:11:58 CST 2011 x86_64 x86_64 x86_64 GNU/Linux

滿足臟牛提權條件,直接上臟牛成功提權

94726-c9u07mrow8w.png

查看開放端口有開放22-ssh,但是嘗試連接無法連接到端口

78739-ofv046wfnmb.png

上Neo-reGeorg將ssh代理出來

70655-o69f32d5srg.png

然后連接127.0.0.1,查看權限為root

滲透測試 png 引號
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接