实战渗透-看我如何拿下自己学校的大屏幕(Bypass)

从1月份入坑到现在,已经5个月了。这五个月来一直在刷edusrc,并且在本月初成功达到了总榜第五名。很多人问我如何快速批量刷站?那么,他来了。本次分享一次对自己学校的一次安全检测实战文章。帮助萌新理清思路,同时,欢迎各位大佬指点不足。

0x01

先看学校的域名ip地址
注意:这里我建议不要看主域名的,看二级域名的ip地址。因为一些地区的职业院校都是集中统一在一台服务器上的,只有一些二级域名才会搭建在学校的机房里面
如我们学校的二级域名:
creat.**.com 上面搭建的系统是智慧校园系统。IP归属地与学校地理位置符合。
那么开始找C段。
fofa关键词: 12.230..1/24
在12.230..194:8000下面找到一个系统。功能不详。
因为只有一个登录

类似系统有很多,比如OA等。这些系统开始都是一些登录,且是一个闭源程序,一没办法本地测试,二是不能代码审计。

我个人比较常用的方法:

查看HTML源代码-》提取特有文件名/路径等-》FOFA寻找相同网站-》猜测弱口令-》挖掘0day-》Getshell

因为程序本身就是闭源,开始的一个登录就让大部分人束手无策。无法探测到里面的内容
所以,遇到此类程序的第一种快捷方法: 找相同程序的弱口令

在首页HTML源代码中,发现一处AJAX请求地址,

/Service/C***.asmx/Get*

那么我们就可以直接搜索这个文件名,就能获取到一些相同程序的站点


同样,搜索到的站点也是只有一个登录页面。那么我们可以挨个测一下弱口令

最终。发现一个类似于开发厂商的测试站点。 admin /admin 成功登录进去

看到相应功能,就知道,这是啥了。。我们学校的大屏幕就是这玩意管理的

那么,废话不多说,开始测试功能

简单粗暴的来到个人中心(因为这里一般都会有更换头像的地方)

先试着穿一个jpg文件。

成功上传并返回一个地址:

然后更改文件名为:test.aspx

出现error,根据个人经验,出现这类问题,我一般喜欢在传一个ss.jpg。与成功上传的test.jpg同类型不同名

来判断是否为白名单。

发现ss.jpg也会出现error

那么,这里可以得出结论,之前的手法与白名单无关。

看了对应的参数:fileToUpload (上传的文件) directory(文件存储路径) ticket不详

当我将返回包更改为初始成功上传的状态的时候,更改了Ticket的内容。发现出现error

那么可以肯定,能否成功跟这个Ticket有关系。

将所有窗口关闭,一步一步对比。发现Ticket生成的请求包

多次测试。发现。生成Ticket的文件名必须要跟上传文件名相同才能成功上传。

那么生成一个test.ashx(个人喜欢) 得到的Ticket替换之前的

成功拿到shell。

那么这就是一个0day。有了这个系统的0day。我就可以拿去打自己学校的系统了

0x02

将HOST地址改成自己学校的地址,发送数据包,发现直接rest了。。。。不用想,肯定是有狗。

asp,aspx,ashx,asmx,cshtml(不解析) 多个测试。发现都是直接rest

进行信息收集,知道了是奇安信WAF

。。。类型检测+内容检测。。。

玩nm!!!!!!!!!!!!!!

于是求助RG大哥的帮助,知道了NET平台下还有一个扩展名是SVC

github地址:https://github.com/ysrc/webshell-sample/blob/master/others/svcSmallSpy.svc

成功上传。。

但是访问地址出现了 500错误,也就是。。并没有被执行。。。

想到了之前自己发过的文章。。

用垃圾字符来绕。。。

Blog: www.websecuritys.cn/?p=274

经过测试发现。当内容字符逐渐变大,得到返回相应的时间也就越长。那么可以确定。后端在进行匹配。

Bypass原理。够多的垃圾字符可以消耗WAF的内存,导致Bypass

由于之前测试的结果。Ticket的文件名要跟上传的文件名相同

那么,先生成一个Ticket

这里用垃圾字符

我用了20w

内容{*.ashx}

得到文件的Ticket

那么,在上传的fileToUpload 的文件名,也要与Ticket的文件名相同,复制过来

同时,因为WAF自带内容检测。那么。将shell代码放在垃圾字符的末尾。

这里必须要注意:

由于垃圾字符太大。必须要用注释符号注释掉

<%--
dsadas垃圾字符
--%>
shell代码

成功Bypass。

拿到webshell

本文来源于: https://xz.aliyun.com/t/7786

相关推荐

VMPwn之温故知新

VMPwn之温故知新 前言 VMPwn泛指实现一些运算指令来模拟程序运行的Pwn题。去年十二月的时候跟着0xC4m3l师傅的文章系统学习了一下VMPwn,到今天发现VMPwn已经成了一个主流的出题方向,在去年的上海大学生网络安全大赛和红帽杯

浅析域渗透中的组策略利用

浅析域渗透中的组策略利用 0x0 前言 最近在实战过程和比赛过程都遇到了这个点,发现攻击面其实挺宽广的,这里记录下自己的分析和学习过程。 0x1 多域环境 test.local 域 DC: 10.211.55.38 win2012 Admi

Thinkphp5代码执行学习

缓存类RCE 版本 5.0.0<=ThinkPHP5<=5.0.10 Tp框架搭建 环境搭建 测试payload ?username=syst1m%0d%0a@eval($_GET[_]);// 可以看到已经写入了缓存 漏洞分析 think

XPATH注入学习

0x00、前言 转眼这学期上完就要找实习了,在网上找了一些面经来看,看到有问到xpath注入的情况。发现对自己xpath注入的了解仅局限于做了墨者学院的xpath注入靶场的常规注入,对xpath注入的权限绕过和盲注并不了解,以下为这次学习的

codeql学习——污点分析

本文主要内容有: 如何查找函数调用 如何查找属性使用 如何进行数据流分析 寻找fastjson jndi反序列化链 Workshop 学习 这部分是学习这个codeql的workshop的笔记。Struts 有个漏洞 CVE-2017-98

thinkphp 5.1框架流程分析与RCE

环境 phpstudy+thinkphp5.1.20 由于thinkphp5.1以上的版本不再支持官网下载源码,需要使用composer下载,比如说下载5.1.20版本 composer create-project --prefer-di

CVE-2016-4437:Apache Shiro RememberMe UnSerialized RCE分析

影响范围 Apache Shiro <=1.2.4(由于密钥泄露的问题, 部分高于1.2.4版本的Shiro也会受到影响) 漏洞类型 反序列化导致RCE 漏洞概述 Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活

Bug Bounty:Keybase一键式RCE

TL;DR 用户可以keybase客户端对话框中发送任意聊天链接。在Windows平台中,通过keybase客户端给受害者发送一个明显无害的链接,当单击该链接时,可以在受害者系统上执行任意命令。 keybase介绍 keybase类似于sl

qdPM <9.1 远程代码执行漏洞分析(CVE-2020-7246)

qdPM \<9.1 远程代码执行漏洞分析(CVE-2020-7246) 0x00 背景知识 htaccess文件 .htaccess文件是Apache服务器中的一个配置文件,负责相关目录下的网页配置。通过htaccess文件,可以实现网页

phpmyadmin<4.8.3 XSS挖掘

前言 最近在审计phpmyadmin的时候发现了一个XSS漏洞,后来发现在版本大于4.8.3以后该漏洞被修复了。看了下之前公布的CVE,有个CVE和此漏洞很相似但没有漏洞细节,于是乎便有了这篇文章。 准备 需要的环境 phpmyadmin

Intigriti的2020年5月XSS挑战

分析题目 在访问Challenge.intigriti.io 时,显示以下页面 引起我的注意:我看到的第一件事是黑体字,指出XSS仅在Firefox(恰好是我的主要浏览器)中工作。考虑到这一点,我按了CTRL + U来查看页面的静态HTML