前段时间有幸和大佬们参加了一次一周的攻防演练，让我这个菜鸡体验到了红队的感觉。所以打算记录一下其中一个花了三天由xss存储到后台的踩坑过程，希望大佬们多带带。

　　

　　到了攻防演练的第二天，早上有个同事和我说这边的一个目标存在存储xss，已经打回了cookie，但是对方开启了http-only无法利用，让我帮忙看看能不能进行钓鱼或者什么的。

　　于是我打开这个站看了一下登陆界面，把登陆界面扒了下来。

　　

　　然后随便找了个php代码改了一下，记录下管理员的账号密码，让管理员点击登陆后跳转到真的登陆界面（咳咳，大家不要笑我这个代码~我是菜鸡）

　　

　　（将钓鱼页面登录post的地址改成上面这个php代码页面）

　　钓鱼页面弄好了，接下来就找了个相似的域名，开始尝试钓鱼~（ps：在自己的钓鱼页面也加上了xss代码，管理员访问的话可以收到提示，能够及时的修改跳转页面的代码）

　　利用土司的xss平台，直接进行页面跳转的操作~（不太会钓鱼。-新手渔夫）

　　

　　然后接着开始插入xss等着鱼儿上钩~

　　

　　可能搞的时候已经快下班了，管理员一直没有访问~于是等到了第二天上班，一下收到了好多xss平台的邮件~连忙上平台查看，不知道鱼儿上钩没。

　　

　　（可以看到管理员已经访问了我的钓鱼页面，但是他好像访问了好多遍。。。。如下图）

　　

　　我傻了，管理员访问了这么多次，应该已经起疑心了。。。。（要被当场抓获的感觉），于是赶紧去查看了钓鱼页面的密码记录。如下图：

　　

　　（管理员肯定起疑心了，这个admin admin之前就试过了，是错误的，于是赶紧把跳转代码删了，并且将域名解析地址删掉。。这次钓鱼计划就这样失败了。）于是接下来开始准备第二个思路。

　　ps:本来想利用xss加csrf组合拳来进行测试的，但是这里爆破成功了，我就没尝试了~~

　　根据xss平台返回的源码中，找到了几个可能有用的地址的，于是尝试利用xss平台的指定多URL页面源码读取(get)模块来获取源码。

　　

　　

　　xss平台配置如下：

　　

　　然后又和之前一样的 *** xss打过去，又耐心的等啊等，管理员又是第二天再访问~~不过还是成功的读取到了页面的源码，发现了很多有用的信息，如管理员账号，姓名等东西，可以生成字典来进行爆破~

　　

　　账号是一些人名，然后生成字典，再用top1w进行爆破，运气不错，拿到一个弱口令账号~

　　

　　成功进入后台~

　　

　　同时多个系统使用相同账号

　　

　　

　　后台都是laravel-admin~尝试了一下拿shell，但是由于太菜了拿不到，本来打算就到这里就写报告收工了~但是机缘巧合下，再另外一个后台找到了上传点，成功拿到了shell~

　　

　　然后成功连接冰蝎~该目标的全部站都放同一个服务器~

　　

　　随后找数据库配置，进数据库，找到大量信息~录屏截图，写报告收工~由于发现目标系统都在一个服务器上后，内网方面就没深入了~

　　emmmmmm，不到最后的关头还是尽量不要尝试钓鱼，可能是我钓鱼技术太菜了，引起了管理员的注意==

　　还有感觉测试的话，还是要认真点，不能放过任何一处突破口，要是这次不是无聊上了某一个后台，就错过了这个shell（因为我们上了前面几个后台，后台都是laravel-admin,上传点突破不了，就没有认真看最后一个系统，主要是他们的后台界面都一样。。。）

　　总的来说，还是运气比较好~

　　

　　谢谢各位师傅的观看。

　　

　　投稿作者:Reality