前段时间有幸和大佬们参加了一次一周的攻防演练,让我这个菜鸡体验到了红队的感觉。所以打算记录一下其中一个花了三天由xss存储到后台的踩坑过程,希望大佬们多带带。
到了攻防演练的第二天,早上有个同事和我说这边的一个目标存在存储xss,已经打回了cookie,但是对方开启了http-only无法利用,让我帮忙看看能不能进行钓鱼或者什么的。
于是我打开这个站看了一下登陆界面,把登陆界面扒了下来。
然后随便找了个php代码改了一下,记录下管理员的账号密码,让管理员点击登陆后跳转到真的登陆界面(咳咳,大家不要笑我这个代码~我是菜鸡)
(将钓鱼页面登录post的地址改成上面这个php代码页面)
钓鱼页面弄好了,接下来就找了个相似的域名,开始尝试钓鱼~(ps:在自己的钓鱼页面也加上了xss代码,管理员访问的话可以收到提示,能够及时的修改跳转页面的代码)
利用土司的xss平台,直接进行页面跳转的操作~(不太会钓鱼。-新手渔夫)
然后接着开始插入xss等着鱼儿上钩~
可能搞的时候已经快下班了,管理员一直没有访问~于是等到了第二天上班,一下收到了好多xss平台的邮件~连忙上平台查看,不知道鱼儿上钩没。
(可以看到管理员已经访问了我的钓鱼页面,但是他好像访问了好多遍。。。。如下图)
我傻了,管理员访问了这么多次,应该已经起疑心了。。。。(要被当场抓获的感觉),于是赶紧去查看了钓鱼页面的密码记录。如下图:
(管理员肯定起疑心了,这个admin admin之前就试过了,是错误的,于是赶紧把跳转代码删了,并且将域名解析地址删掉。。这次钓鱼计划就这样失败了。)于是接下来开始准备第二个思路。
ps:本来想利用xss加csrf组合拳来进行测试的,但是这里爆破成功了,我就没尝试了~~
根据xss平台返回的源码中,找到了几个可能有用的地址的,于是尝试利用xss平台的指定多URL页面源码读取(get)模块来获取源码。
xss平台配置如下:
然后又和之前一样的 *** xss打过去,又耐心的等啊等,管理员又是第二天再访问~~不过还是成功的读取到了页面的源码,发现了很多有用的信息,如管理员账号,姓名等东西,可以生成字典来进行爆破~
账号是一些人名,然后生成字典,再用top1w进行爆破,运气不错,拿到一个弱口令账号~
成功进入后台~
同时多个系统使用相同账号
后台都是laravel-admin~尝试了一下拿shell,但是由于太菜了拿不到,本来打算就到这里就写报告收工了~但是机缘巧合下,再另外一个后台找到了上传点,成功拿到了shell~
然后成功连接冰蝎~该目标的全部站都放同一个服务器~
随后找数据库配置,进数据库,找到大量信息~录屏截图,写报告收工~由于发现目标系统都在一个服务器上后,内网方面就没深入了~
emmmmmm,不到最后的关头还是尽量不要尝试钓鱼,可能是我钓鱼技术太菜了,引起了管理员的注意==
还有感觉测试的话,还是要认真点,不能放过任何一处突破口,要是这次不是无聊上了某一个后台,就错过了这个shell(因为我们上了前面几个后台,后台都是laravel-admin,上传点突破不了,就没有认真看最后一个系统,主要是他们的后台界面都一样。。。)
总的来说,还是运气比较好~
谢谢各位师傅的观看。
投稿作者:Reality
相信现在有很多的朋友们对于谁能告诉我办房产证去哪里办都想要了解吧,那么今天小编就来给大家针对谁能告诉我办房产证去哪里办进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦 去房产交易中心或者当地的房...
动物之森寻宝游戏怎么触发?动物之森中有很多特色玩法,寻宝游戏就是其中一个,但很多玩家都不知道该如何开启寻宝。下面就是动物之森寻宝游戏的触发条件和玩法攻略了,想要参与寻宝的小伙伴们一起来看看吧! 动...
空调有异味(空调有异味怎么处理)新一波强冷空气汹汹 在北方地区的你 是否早已离不了暖气片了 在车上,如果你开暧风中央空调时,是不是觉得空调有异味呢?你了解是为什么,该怎么处理吗?我今日...
近日由她出任出演的微视频《老奶奶与无名子》在国外格伦代尔电影节中传出喜讯。该微视频连夺3个荣誉奖,包含最好国际性短片视频男艺人、最好国际性短片视频女艺人及其最好国际性短片视频。 而作为本剧的女一号,邵...
上网找货车可以找福佑卡车,发货有保障 那到那?我边上有几部半挂车,不过10几吨好像大车小用了。 找出租货车的方法:1、在浏览器里输入“货车在线”并点击;2、点击图片左侧,选择”类型“、”长度“、。 最...
如果两个人本来准备结婚了但是没有结婚,那么男方给女方的各种资金和消费是否可以要回,近日据了解男子曝被海航空姐骗婚百万的报道引起了很多人关注,那么这个海航空姐“骗婚”百万已婚男到底是怎么回事呢,接下来大...