渗透测试的第三天,总结了这2天的收获和思路经验根据旁站的sql注入查询作用取得了数
据库root管理权限,可是管理人员做了安全配置不可以读写文档,因此还是要想办法进后台管
理看一下能否getshell。但是现阶段后台管理详细地址都还没寻找,基本的扫文件目录会被封
ip。随便翻一翻数据库查询,在系统设置表中翻来到一串神密的字符串数组,注解写着后台
管理数据加密,拿来拼在url后边试一试,居然就跳来到后台管理页面。
后边才知道总体目标有一个【后台管理详细地址数据加密】作用,但是应当并不是cmf架构正
版的后台管理详细地址数据加密(/?g=admin&upw=加登陆密码),可能是二次开发硬改的,
因此 立即拼在url后边就可以了。己知后台管理,能够 改用户名和密码去登录,可是我看了
一下数据库查询登录系统日志表,发觉总体目标的唯一管理方法客户实际上许多 人在用,登
录频率非常高。立即修改密码姿势太大。必须想此外的方式 登陆。
版的后台管理详细地址数据加密(/?g=admin&upw=加登陆密码),可能是二次开发硬改的,
因此 立即拼在url后边就可以了。己知后台管理,能够 改用户名和密码去登录,可是我看了
一下数据库查询登录系统日志表,发觉总体目标的唯一管理方法客户实际上许多 人在用,登
录频率非常高。立即修改密码姿势太大。必须想此外的方式 登陆。
我最先试着了一下登录系统日志xss盲打,在数据库查询里把登录系统日志的一条改成偷cook
ie的js。随后就在xss平台蹲点,大约一小时以后,xss平台沒有一切纪录,反倒数据库查询中
见到登录系统日志全被管理人员清除了,功亏一篑。改变下思路,把一个已解出来登陆密码
的用户提权为管理人员(在数据库查询里改一个字段名),随后准备充分好消除一条登录系
统日志的sql句,这里后台管理一登录,旁站那里马上运作,最后借助反应力做到悄然无声登
录后台管理的实际效果。
ie的js。随后就在xss平台蹲点,大约一小时以后,xss平台沒有一切纪录,反倒数据库查询中
见到登录系统日志全被管理人员清除了,功亏一篑。改变下思路,把一个已解出来登陆密码
的用户提权为管理人员(在数据库查询里改一个字段名),随后准备充分好消除一条登录系
统日志的sql句,这里后台管理一登录,旁站那里马上运作,最后借助反应力做到悄然无声登
录后台管理的实际效果。
查询后台管理作用,找到一个开发设计自身写的提交点,编码方面应该是没做一切过滤,可
是试着提交webshell时,了解老友又碰面了——哪个waf的网页页面。再次硬刚,一番检测以
后,发觉waf根据两层面开展阻拦,一检验文件后缀名,配对到php等比较敏感后缀名就未予
海关放行(php2,php3等都试过去了)。二检验文档內容,配对到了解了检验特点,刚开
始一一试着绕开,最先是文件后缀名,运用冒号分号和自动换行开展搞混绕开:filename=
=="shell';.php"文档內容,运用php短标识开展绕开。到此能够 提交webshell,先传了个破旧
的正版冰蝎(非3.0),联接时被阻拦,是根据总流量特点的检验。那时候很懒沒有去改冰蝎
,立即传了个大马,能用。
是试着提交webshell时,了解老友又碰面了——哪个waf的网页页面。再次硬刚,一番检测以
后,发觉waf根据两层面开展阻拦,一检验文件后缀名,配对到php等比较敏感后缀名就未予
海关放行(php2,php3等都试过去了)。二检验文档內容,配对到了解了检验特点,刚开
始一一试着绕开,最先是文件后缀名,运用冒号分号和自动换行开展搞混绕开:filename=
=="shell';.php"文档內容,运用php短标识开展绕开。到此能够 提交webshell,先传了个破旧
的正版冰蝎(非3.0),联接时被阻拦,是根据总流量特点的检验。那时候很懒沒有去改冰蝎
,立即传了个大马,能用。
随后我刚开始翻文档,那时候想不到这一waf还藏了一手,随便翻了大约三十分钟,忽然了
解的waf网页页面又出来,大马被杀。并且我就用大马藏的别的webshell也都不可以浏览了
,杀的是一干二净。换一个ip,我又登进后台管理传了一遍,依然可用,可是此次只是过去
了不上十分钟,waf就出来。换一个ip再传,此次是一分钟,也就是联接以后点了两三下罢
了。这时候才知道这一waf也有个根据个人行为检验的作用,相近深度学习的那类觉得。来
看这一大马waf早已很了解不可以再用了,我找了此外一个大马,正当性我换好ip准备进来
再传一遍时,忽然发觉旁站sql查询的作用的网页页面也被waf阻拦了,这确定了二点,(
1)这一waf的确有自学习培训的作用,尽管学的慢了点(哪个作用我就用了贴近一天)。
(2)waf凶起来连自家人都杀。没有了哪个作用,就不可以清除登录系统日志了,登录后
台管理会出现被发觉的风险。恰好这时也来到休息时间。
解的waf网页页面又出来,大马被杀。并且我就用大马藏的别的webshell也都不可以浏览了
,杀的是一干二净。换一个ip,我又登进后台管理传了一遍,依然可用,可是此次只是过去
了不上十分钟,waf就出来。换一个ip再传,此次是一分钟,也就是联接以后点了两三下罢
了。这时候才知道这一waf也有个根据个人行为检验的作用,相近深度学习的那类觉得。来
看这一大马waf早已很了解不可以再用了,我找了此外一个大马,正当性我换好ip准备进来
再传一遍时,忽然发觉旁站sql查询的作用的网页页面也被waf阻拦了,这确定了二点,(
1)这一waf的确有自学习培训的作用,尽管学的慢了点(哪个作用我就用了贴近一天)。
(2)waf凶起来连自家人都杀。没有了哪个作用,就不可以清除登录系统日志了,登录后
台管理会出现被发觉的风险。恰好这时也来到休息时间。
先看一下被waf阻拦的大马有木有修复,不要看没事儿,一看发觉,管理人员把全部旁站
都退出了,用以前的前台sql注入看过一下,自身加的用户仍在。可是清除不上系统日志的
状况下怎能隐敝的登录后台管理呢?这就是磨练反应力的情况下了,准备充分好清除系统
日志、拖源代码、拖库三个php脚本制作,登录后台管理后立刻提交大马,运用waf自学习
培训的时差,提交运作并删掉三个脚本制作(实际上可以把三个脚本制作生成一个,随后
不传大马立即传脚本制作),以后用迅雷资源把源代码和数据库下载回来就好啦。
都退出了,用以前的前台sql注入看过一下,自身加的用户仍在。可是清除不上系统日志的
状况下怎能隐敝的登录后台管理呢?这就是磨练反应力的情况下了,准备充分好清除系统
日志、拖源代码、拖库三个php脚本制作,登录后台管理后立刻提交大马,运用waf自学习
培训的时差,提交运作并删掉三个脚本制作(实际上可以把三个脚本制作生成一个,随后
不传大马立即传脚本制作),以后用迅雷资源把源代码和数据库下载回来就好啦。
