渗透测试的第二天,精神养足了,思路也有了那就运用sql注入查寻别的用户数据信息,cmf
架构的客户构造不象一般的架构那般分为用户表和管理方法客户表,它的管理人员和用户都会同
一个表中。表格中的客户用一个字段名去区别不一样人物角色,那样尽管获得不到表名,但我只
查客户表就可以获得管理人员信息内容。查寻以后发觉总体目标系统软件只有一个管理人员(人
物角色字段名数值1,其他客户全是2),密码是hash放盐数据加密的,thinkcmf的加密算法cmd
5里沒有,只有自身跑彩虹表。 跑了800万个弱口令和社会工作者登陆密码以后没解出来,别的较为靠前的检测客户倒是解出来
一大堆。这时候的状况是,【空有一个一般管理权限的注入点】,不清楚别的表名只有查客户表
,管理人员客户登陆密码hash忘记了,解除了也不起作用后台管理详细地址现阶段还没找到。
渗透深陷了困局,因此我刚开始搜集信息内容,搜集来到总体目标的此外2个站——A站和B站
(非二次元)。【首先看A站】阿里服务器器,真正ip,沒有cdn都没有waf,宝塔面板,dedec
ms,开过22和3306端口号,后台管理详细地址admin,登录名admin,网络服务器登录名root
\mysql\www(ssh登录名枚举类型系统漏洞)。刚开始检测:工程爆破、注入、扫文件目录、
织梦cms己知系统漏洞这些一顿操作以后,没搞进去,舍弃。 【再看B站】,有cdn,ecshop,申请注册帐户后登录,刚开始检测:前台sql注入、头像图片
提交、留言板留言xss、竖直滥用权限这些,也没有。不急,一个/admin见到后台管理,顺手
一个123456……,没进来。可是发觉沒有短信验证码,挂上burptop10000走一走,弱口令取
得成功登陆。进后台管理找了好多个提交点,统统是后缀名授权管理,沒有包括和分析系统
漏洞。可是意外惊喜的发觉后台管理有【sql查询作用】(立即运作sql语句)和【数据库测试
印射】。刚开始检测sql查询作用,输好sql语句按回车键,了解的waf网页页面又弹了出去…
…再次试着绕开,昨日的注入点是get型,这儿是post型,waf的过虑标准相对一些转变。实
际哪些标准也没有纪录,由于最终我是用:【post传参不限定长短,传送一百个主要参数以
后,第101个主要参数waf不容易开展检验】这一方式 去绕开的。前边加一百个废弃物主要
参数,以后的主要参数压根无需加一切搞混,称得上肆无忌惮。 从头开始sql查询,用户权限root,限定了文档读写能力文件目录,列库名,出现意外的发觉商
城系统和app居然是旁站。如今我不但能够 查寻,还能够删改改app的数据信息,并且表位居
名也都能查来到。接下去试着用数据库测试印射找寻真正ip:由于waf是cdn附加的,了解真正
ip等于使waf无效,若3306对外开放还能够立即连接数据库查询,因此 真正ip还是很有使用价
值的。今天的收获结果(用户信息收集,资产信息收集,旁站sql查询功能绕过waf操作数据库
)。好了先到这,晚上休息休息想想如何拿到权限,明天再战。
还没有评论,来说两句吧...