校园内网web平台Getshell(下·最终篇)

访客4年前关于黑客接单691

原文来自SecIN社区—作者:Metasp

  1. 接上一篇文章 > https://www.sec-in.com/article/778
    我如愿以偿的加了分,同时也提交给了学校。今天突然发现,其它几个平台还没有挖,继续开工…
    11.jpg
  2. 尝试用弱口令登录一下!然后发现管理员居然都改密码了~~
    22.png
    那就继续搜集一波信息吧
    http://172.x.0.233:9099/XXXXL/
    http://172.x.0.233:9091/PXXXXXT/
    http://172.x.0.233:9090/BXXXT/
    http://172.x.0.233:9080/DXXT/login.html

首先看了一下,1 2 3,4这三个站点源码发现是一样的
3.首先在登录处抓了一个POST包,可以发现用的json提交,前端校验绕不过
33.png
经过反复测试 “loginObj”:"{“accountNo”:“123’) waitfor delay’0:0:5’–”,“pwd”:“123”}"
发现存在延时注入~~
33.png
刚开始用sqlmap咋都跑不出来,可能是json数据写的有点乱,各种 \ 转义符号…sqlmap无法识别
于是小改一下tamper脚本
44.png
不一会儿,跑出来了~
55.png
117.png
最后成功跑出账号密码,md5去解了一下admin的密码,发现解不开,但是发现0379这个账号后面跟了个备注(0379)
于是发现这个可能是密码,就进行了登录
77.png
http://XXXXX/XXX/mainBody?no=0379&psd=8C302E59XXXXXC540AE6B&pid=0000&rd=e07d24dc-aece-4811
现在看上面的链接,0379是用户名,由于0379是普通用户,权限比较低,看看修改为admin能不能越权

http://XXXXX/XXX/mainBody?no=admin&psd=8C302E59XXXXXC540AE6B&pid=0000&rd=e07d24dc-aece-4811
(看下图)改为admin之后,发现成功越权到admin管理员,既然后台能直接越权,大胆猜测,其它三个站肯定也是可以越权进行登录。因为这个站功能点太少了,所以才会想到越权到其它站看一下。
66666.png
(看下图)之后又成功越权到了一个功能点很多的站点,发现可以上传文件…
88.png
这里接上篇文章文件上传那儿,直接绕过。
当type参数的值为all的时候,即可上传jsp等脚本文件
111.png
99.png
成功Getshell,之后whoami了一下,直接是root权限,并传了马子,我直接(有主机上线,请注意)
222.png

后续:又一次提交给了老师,(提前有授权的~)。

相关文章

找师傅黑客(拜黑客为师)

找师傅黑客(拜黑客为师)

本文目录一览: 1、黑客拜师 2、请问怎么才可以当电脑黑客啊?? 3、我要找个师傅,精通电脑的,最好能跟hacker有点关系 黑客拜师 自学比较好,至于抓鸡拿网站什么的都是皮毛,根本不是黑客...

手机里的照片删了怎么恢复(万能手机数据恢复

手机里的照片删了怎么恢复(万能手机数据恢复

如何恢复删除的手机照片?当国庆假期临近时,你将有35个朋友出去观光。此时,我们删除一些毫无意义的手机照片。如果在删除过程中意外删除重要照片,如何恢复?接下来,我们可以了解这些方法。 第一个:手机...

网络危机_找黑客生死号-找黑客男朋友

那么能够首要经过JSONP的“Padding”这个getUsers.JSON输出为:这一步的成功首要依靠的是曾经的作业。...

红参的功效与作用(红参的吃法)

红参的功效与作用(红参的吃法) 红参的功效与作用(红参的吃法) 一、红参简介: 红参是人参的熟用...

如何能够在网上查到真实的开房记录

现在酒店都要求我们住宿酒店出示身份证的,第一,是为了我们的安全,第二,是为了酒店自身的利益。如果酒店不要求身份证了,那公安就该找他们的麻烦了。那这些开房记录能够从网上查吗?真实吗? 说起这个真实问题...

今天火币网遭到黑客的攻击(火币网比特币被盗)

今天火币网遭到黑客的攻击(火币网比特币被盗)

本文导读目录: 1、普顿外汇昨天被黑客攻击是真实的吗? 2、币安平台被黑客攻击了吗 3、攻击汇丰国际的网站你让他们汇款吗 4、网站被黑客攻击了怎么办 5、火币网怎么样 在火币网交易比特...