奇安信攻防社区-滴水之恩，当涌泉相报---对母校的一次渗透测试

滴水之恩，当涌泉相报---对母校的一次渗透测试

滴水之恩，当涌泉相报

起因：
---

时间过得真快，转眼就要大学毕业了，学了这么久的安全，还没有对母校测试一下，哈哈哈，去年测试过，那时候刚学，啥也不会，就感觉学校网站很安全，今天再次测试发现，ennnnnn，"挺好的"。

开始测试
----

首先进入官网，在官网里面有很多网站服务。

### webvpn逻辑？弱口令？

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-0db873db65822cfd2928728f58292ec673f09efb.png)  
在这个页面中可以看到给了用户名的密码，那么用户名是什么呢？哪里获取用户名？  
接下来就继续进入寻找其它网站了，寻找一些信息泄露什么的，或者用户名枚举什么的，发现的一个用户名枚举的网站。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-f1d1572c5095c48713b56a66c9a8480f8d54573a.png)  
点击修改密码，填写内容并提交

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-298ce67aab57b0592040242f283f891a2fe05e69.png)  
更换一个测试账号尝试：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-8b687506a5570df1e12ed5b6137ee52ab065dae1.png)

如果账号存在则返回密码错误，若不存在则返回不存在。  
尝试爆破账号，对后三位进行爆破

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-121fd18640ec07473c7cdbc6d8798681ee401c78.png)

测试后，找到近百的账号，将账号放到刚刚的webvpn中测试，密码就用网页显示的。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-c472e6b261b04501cd710a654e444bf77e5bc40b.png)

然后就很舒服了，拥有了几十个vpn账号，然后满心欢喜的登录进去，发现.....

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-2cf690c7a215912ab7615a1ed0605b2aee064274.png)

呵呵呵

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-89a94be8f73f538839cb99612f1ecf6c420749cb.png)

为了回报母校，怎么能就挖一个弱口令给学校呢。这不是很尴尬了。

### thinkphp rce

继续找网站，在主站的下面看到了一个教学诊断网

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-57619aaf4371ad1b138e8b8f3aa075a126a9c44e.png)  
这个确实.....很nice，直接拿出thinkphp漏扫，直接输入url，测试

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-4f69da08d79f0220049c92ae60963ce9647b98ec.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-25d568d9b38ba53a6dce30c03b9a4c4e481ce046.png)

### 某系统漏洞合集

当拿到第一个shell后就蛮开心的，继续寻找下一个站点测试，一个一年才打开一次的网站。厚码厚码(我很爱我的学校)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-7b8fe3e8465bad01b5e100c00f96b144fbf2ee17.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-b7bcf1fd3a9bb4eaff4e22a6c4a25b65ecfb98c4.png)  
ennn，其实翻到这个页面的时候，没有抱着可以挖到漏洞的心态的，主要是因为.....

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-76874763a00fafc002d92358b80112a8ac611906.png)

进入公共课页面，查看一下有没有waf，尝试插入一条xss的payload，然后.....

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-63f389d18be875bf631a1bb68c0a7252313aff86.png)  
额....这是什么waf呀，不认识，那么接下来存在waf的情况下，很多操作都无法进行了，那么在这种情况下，我一般会将这个网址的真实ip找出来，判断是否是云waf，同时找到真实ip也会增加收集到更多的信息。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-37591062a035852c75a57d1210e1bb1c9bf2e4ed.png)

找到真实ip后就端口扫描了，在端口扫描之前最好先在鹰图，fofa等等平台先收集一波信息，因为nmap或是masscan扫描时可能会封ip。

经过扫描发现了该平台在8099端口，然后就是判断是否会拦截payload了。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-0b5ddf6f431164d64d505365baf1a7ec29af142b.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-d467e820836a8d90456be53ce715c2d924a18b8a.png)

good，很好，那么接下来就是测试漏洞了。

看到这个登录界面，首先就是测试是否弱口令，sql注入或者逻辑了，但是经过测试发现不存在这些漏洞，但是存在一个用户枚举漏洞。

#### 用户枚举

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-bc0241d837364a96ce168c5fc7386701aaf4c291.png)

然后就是fuzz测试账号了，但是这个漏洞很鸡肋，这里就提一嘴，没啥用。

#### 接口未授权

在尝是了一波js接口后没有发现什么漏洞，但是查找到了一些(没有用的)信息泄露。  
近万条数据吧

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-aa73b71f66ae677f594bac1b1b36cb69e9f7063c.png)

这样的接口存在3个，但是没有一些很敏感的东西。  
以及一句mssql的报错语句

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-4ed782261d8507ddb0d973c81fbdb62a45c379c3.png)

但是像这样的信息泄露算漏洞吗？

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-fe983aa8ac86f9d54f04a909fe3beefc5e8258e3.png)

本来打算放弃的，但是想起来github，于是将学校域名放github上搜了一些，峰回路转，惊喜来了。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-59c83c8c2e7b7b9fff4b182b5b1626da36768c12.png)

之前都没有找到这个子域名，于是惊喜的将这个打开，

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-d769b83a114fcaa7fc93c064f1e589ba6fdf850f.png)

看到这个我感觉差不多赢了一半了，于是开始测试接口，发现接口认证的参数  
`&amp;accessKey={accessKey}&amp;secretKey={secretKey}`  
没有作用，无论填不填这两个参数都可以查询或是操作这些接口，相当于这些接口全部都可以调用。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-157d03f14a316975c272dbbb0986a434bf1b9bd1.png)  
差不多有十几个接口吧。可以添加用户，删除用户，查看学分，查看用户详情等等。  
okok，注册一个用户，开始下一轮漏洞。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-d3e31d7bdcc72579494c395aa5d71e352961469a.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-b2e15da08d8b6e22c7b5acde998ef7d3d58987db.png)

#### sql注入（两枚）

在刚刚注册了用户，登录进去。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-f74b76a258228ac1b6d188f049e0d98fb40223fd.png)

到这里之后正常的思路应该是找上传点，然后getshell，但是还是想测一下js文件，说不定有什么意外收获呢，于是在经过半小时的测试后发现了几处未授权接口。

##### 第一处

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-3b1014a9c1f581d89f143b176ba13e3d319e1298.png)

将url和参数进行拼接。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-c4390bdd49691177d6ab37823d66150303fb61f4.png)

当时测试的时候在id的后面增加字母或者纯数字或是其他标点符号都没有问题(' 123a 等等字符)，但是测试发现增加单引号后网页发生了跳转?  
于是将该url放入了sqlmap尝试注入：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-ccb78e2b99561da485edafb1dda7b105692da12d.png)  
查看是否为dba权限。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-f4c454d15238882474527fdbc90cd0c3cda2b2b7.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-99130fa33d65519a3f65fabf8bcfc6790a526bf4.png)

开摆了。

##### 第二处

第二处同样是js文件内找到。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-51157c2f7d0e84d666b40b5a32cc04377bc72368.png)

继续构造参数

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-0aaef2270fb1f822aed076e70ad6ebaa5a9ea769.png)

然后就是fuzz测试了，发现stucode参数在加入单引号后就会返回False，而加入其他任何字符都是返回True，

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-2439bb8de9d0355d43dbd1d98b25def3d4444cef.png)

哎，大概率存在盲注。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-297c8dafba1dbe8fd7f62139a40b88d28271a227.png)  
经过漫长的等待，终于测试出来了，盲注.....

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-887979af39695c8b41d721948652bae5e00043bf.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-8d01e33b21d8a432973a9491977409629d8fdba2.png)

##### 文件上传

在头像上传的地方，上传图片，抓包。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-a7016a69a42a6a0964b9aa3c141c91a6937397bf.png)

更改后缀，发现上传文件没有过滤，但是上传脚本文件直接500错误，这个网站是由iis搭建的。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-990045d17abe5e99051d735ca92dd35ace1a8c47.png)

而上传php文件则直接404，应该是服务器设置了什么规则，哎。尝试过很多，但是都失败了。并且会对文件内容进行校验。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-4357dd0173908fee61895e48464ae4a023edd661.png)  
但是但是，xss我们还是可以试试的，哎，rce没办法，那就弹个窗吧。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-a85c16ef6c031d02d7e125ddf8c64e5829820292.png)

在图片中间的地方插入xss语句

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-01976f104f7abf34a947d91002b1370c813d6d3b.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-c0d57306591c72c84e317521801036b79fa73e26.png)

但是如果没有找到可以注册的api，则这个漏洞无法利用，为了扩大漏洞危害，尝试删除cookie，是否可以未授权文件上传。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-37c833449ee934f1044d38efbaabd9341ddf50b9.png)

额，ok，存储型xss.......

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/11/attach-878ffb6729fe459a5f0f3d99090b8b6815eeb97d.png)

### 弱口令+被拦截的文件上传

继续测试，找到一个心理健康中心的平台，直接找到后台地址

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-665867ab1c803a066cbe865d29c73f8c604aef96.png)

尝试登录，查看数据包

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-168d520e118224f578eda9991fa8d329c1ce0447.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-3ca292da14e26be4d93665500e34189d63b41850.png)

这个难道存在admin用户？可以尝试爆破其他用户？并且测试发现，验证码可以重复使用，

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-bf6b878a68d78ef5d248837e8b303856e1cdbc9c.png)

于是直接先来一个爆破用户名

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-e6508cbe152a7eb700d1a92315fa1b6e7b0ae853.png)

额，有点小意外，哈哈哈哈。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-28a796dcea29329ba3d1041da928783a7ec38fdf.png)

这是啥操作?我只是想爆破用户名的......

登录进入后台

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-6f07b7b7c40a4c79cb6ef217a4d279946b305759.png)  
找到文件上传的地方，这里其实测试过js文件内的接口，发现都需要认证，没办法只能找上传接口了。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-75eb5dfb0204f1791073331b5872a33ae809b9d1.png)

经过我不断的测试发现，这个文件上传不存在后缀名过滤，

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-7b2cd3035bbddc9d9124f069f3176e530b6109bc.png)  
但是存在waf，至于是什么waf就无法判断了，尝试了很多方法都无法绕过，

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-37af375a907bf61925de529a6a57318a5cd67e8a.png)

但是但是，作为一个有理想的人，好歹也来个弹窗吧，安慰一下自己。

上传一个xml文件，弹窗

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-11ae8602677a3ef137f071e42efe3275066dcc50.png)

`少壮不努力，老大玩弹窗`

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-540fbde106b651daba0d58aa8d788e42a2fdfa09.png)

为了扩大漏洞危害，必须是未授权上传呀，不然这算漏洞吗?

直接把认证和cookie都删除了

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-52481ce07d613095b519c60d733885963678ed1e.png)

未授权文件上传(存储xss)......

无意中看到这个页面......

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-cdbf3f62484bd6ff2102f3584a349be2821a4558.png)

你以为我会继续测试？

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-737817476ea22d438b49c5fa27ea4e72ba2f9dce.png)  
我没有身份证，所以不测了。

#### 信息收集+登录后台+没有绕过的文件上传

这次是一个第二课堂的系统，其实刚进来是完全没有头绪的.....直到

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-faec21cd8f90fb39c49af9b0ec358b8110a578af.png)  
于是，我将之前信息泄露的学生学号放上去测试，然后

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-4adffe33a1a58d6817ea3e584e100691eb776770.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-77c80998e922bbd7eaf129744259939de10567d2.png)

难道学校欺骗小学生？  
我不甘心，然后将前面爆破到的教工账号放上去测试。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-48e47cdb1e07e8d2963c8a34007ff8272eecb04c.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-dc4eab8ebe7e067e1ce9e92bca1fae41c2d5eca2.png)

进入后找了一堆接口发现全部要登录，而且没啥漏洞，于是就把手伸到了文件上传的地方。  
第一处：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-3f44b0bae31ba8b61fb993e0c6b949771cf94b88.png)

这一处应该存在黑名单过滤，脚本类文件无法上传，这里包括了xml，html，js，css文件均无法上传，该系统应该存在waf，上传脚本文件直接400错误，就连弹窗快乐一下都不行了？

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-0f85e5da1d52c14f31527e3eaa47d8a66bb53b35.png)

放弃是不可能的，记得pdf应该也可以弹窗的，然后就是找pdf的弹窗payload，

工具:  
[osnr/horrifying-pdf-experiments: Stuff which works in Chrome and maybe Acrobat and Foxit. (github.com)](https://github.com/osnr/horrifying-pdf-experiments)

scq.py

```py
# FROM https://github.com/osnr/horrifying-pdf-experiments
import sys

from pdfrw import PdfWriter
from pdfrw.objects.pdfname import PdfName
from pdfrw.objects.pdfstring import PdfString
from pdfrw.objects.pdfdict import PdfDict
from pdfrw.objects.pdfarray import PdfArray

def make_js_action(js):
    action = PdfDict()
    action.S = PdfName.JavaScript
    action.JS = js
    return action

def make_field(name, x, y, width, height, r, g, b, value=""):
    annot = PdfDict()
    annot.Type = PdfName.Annot
    annot.Subtype = PdfName.Widget
    annot.FT = PdfName.Tx
    annot.Ff = 2
    annot.Rect = PdfArray([x, y, x + width, y + height])
    annot.MaxLen = 160
    annot.T = PdfString.encode(name)
    annot.V = PdfString.encode(value)

# Default appearance stream: can be arbitrary PDF XObject or
    # something. Very general.
    annot.AP = PdfDict()

ap = annot.AP.N = PdfDict()
    ap.Type = PdfName.XObject
    ap.Subtype = PdfName.Form
    ap.FormType = 1
    ap.BBox = PdfArray([0, 0, width, height])
    ap.Matrix = PdfArray([1.0, 0.0, 0.0, 1.0, 0.0, 0.0])
    ap.stream = """
%f %f %f rg
0.0 0.0 %f %f re f
""" % (r, g, b, width, height)

# It took me a while to figure this out. See PDF spec:
    # https://www.adobe.com/content/dam/Adobe/en/devnet/acrobat/pdfs/pdf_reference_1-7.pdf#page=641

# Basically, the appearance stream we just specified doesn't
    # follow the field rect if it gets changed in JS (at least not in
    # Chrome).

# But this simple MK field here, with border/color
    # characteristics, _does_ follow those movements and resizes, so
    # we can get moving colored rectangles this way.
    annot.MK = PdfDict()
    annot.MK.BG = PdfArray([r, g, b])

return annot

def make_page(fields, script):
    page = PdfDict()
    page.Type = PdfName.Page

page.Resources = PdfDict()
    page.Resources.Font = PdfDict()
    page.Resources.Font.F1 = PdfDict()
    page.Resources.Font.F1.Type = PdfName.Font
    page.Resources.Font.F1.Subtype = PdfName.Type1
    page.Resources.Font.F1.BaseFont = PdfName.Helvetica

page.MediaBox = PdfArray([0, 0, 612, 792])

page.Contents = PdfDict()
    page.Contents.stream = """
BT
/F1 24 Tf
ET
    """

annots = fields

page.AA = PdfDict()
    # You probably should just wrap each JS action with a try/catch,
    # because Chrome does no error reporting or even logging otherwise;
    # you just get a silent failure.
    page.AA.O = make_js_action("""
try {
  %s
} catch (e) {
  app.alert(e.message);
}
    """ % (script))

page.Annots = PdfArray(annots)
    return page

if len(sys.argv) &gt; 1:
    js_file = open(sys.argv[1], 'r')

fields = []
    for line in js_file:
        if not line.startswith('/// '): break
        pieces = line.split()
        params = [pieces[1]] + [float(token) for token in pieces[2:]]
        fields.append(make_field(*params))

js_file.seek(0)

out = PdfWriter()
    out.addpage(make_page(fields, js_file.read()))
    out.write('result.pdf')
```

payload.js

```js
app.alert("xss")
```

运行：

```bash
python scq.py payload.js
```

然后会多出来应该result.pdf的文件。

然后怀着激动的心情上传

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-4d2b79109e83fb685b3a8344b970240b42496d8c.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-0bef19b4b5143edbed2f1df85ca6b7e6d35d3cc3.png)

接下里就是跟上面的一样了，将认证信息以及cookie全部删除，看文件是否可以正常上传

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-c95738a59a0d8070a0e31426ed23780ab5087d85.png)  
发现文件一样可以上传，可以造成存储xss，哎。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-17e13f7d65b2a015771bc67957c98a8fe33feba8.png)

##### 弱口令？

进入另外一处登录地址，是志愿服务

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-b5ee0cbbfb9b13d43b2946c285e9c606963e42f1.png)  
这里尝试了学号，发现学号是无法登录的，然后又用到了教职工号，然后一发入魂

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-3401435222a0108dcd780942714d6bd31970df02.png)

发现所以职工号的密码都为123456，但是进入后需要点击注册，可以接管这个账号，但是作为一个有原则的人，没有进行注册填写，没有影响原有数据。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-167f1578ba974554f717ae7393c138779e3527c9.png)

结尾
--

额...还有几处漏洞，都是一些框架的漏洞，没什么可说的，直接工具梭哈就可以了，比如struts。  
上面说的漏洞也就一个可以getshell，但是这一个getshell并不影响我们进入内网。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-531403b8ef95ecd723529a073602e01bc83b81b2.png)

直接tasklist查看一下进程

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-4212fad3503e79cfedb6d37ccb5494bca0ed1968.png)  
`火绒？`

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-c062a21b368f5994b724381c07c8908516e23e4b.png)  
懂得都懂好吧，火绒的横向渗透拦截较强，其他的.....

后续就是上线cs，内网漫游了。

简单说一下内网吧，fscan梭哈，资产还是很多的，一些老框架的漏洞很多，还有弱口令有一些吧，大部分都是数据库弱口令。防护软件部分电脑存在。

内网里面的渗透就暂且不发了。

总体来说，这次渗透最重要的就是信息收集了，以及各种漏洞的组合，同时自己也对那些waf的拦截机制也不是很了解，导致后面的几个黑名单都没有绕过去，未来还是需要好好研究一下文件上传过waf的思路了，不然直接高危变低危。**少壮不努力，老大玩弹窗。**  
`不知不觉就要毕业了，从该开始学网安，那时候就想着总有一天给学校来一次渗透测试，但是由于当时刚刚学，啥也不会，上来就开扫描器，没一会就最直接凉了，还记得当时学校的waf是safedog，现在不知道已经换成啥了，学校的网站也都换了一遍ui。`  
**`回头看曾经的自己，真好，真希望重头来一遍，再见了学校，再见了她。`**

发表于 2022-12-06 09:00:00
阅读 ( 8567 )
分类：渗透测试

1 条评论

CW 2022-12-22 13:52

这样测试不是未授权嘛。。