0x00 前言
初来某单位,领导直接丢了一手某省的核酸检测系统让我们进行测试,并且说这是一个单系统的攻防演练的,还有分数竞赛,直接拿起锄头开始干。
0x01 信息探测
站点打开,除了几张图片,就是一个登录框,简单画图画一下:
基本就是这个样子,没有其他功能点,抓包看下详情,shiro框架,试了下没有shiro反序列化漏洞,也没有其他功能点,扫目录什么都扫不到,看他其他端口都没有业务,开始陷入了沉思
基本就是这个情况,shiro漏洞不存在,爆破也尝试了,加密很严格,拉取crypto.js调试了好久,JS逆向也没爆破出来,所以又陷入了沉思
看看有没有通用通杀,看了一圈,没有一样的,因为还在打另外一场比较急的攻防演练,就暂时放下了,而且领导也说了,“抽时间看看”。
0x02 睡梦中的突破
叮叮叮……来电话了~
领导:急急慌慌的打来电话,说XX,昨天的那个XX核酸检测信息系统攻击了没?
我:不好搞,我再尝试一下(内心OS,我搞不定……)
(领导口中的“抽时间看看”== 给我冲!!!)
——————————————-分割线——————————————-
因为到中午了,确实搞别的项目也挺累,趴办公桌上想眯一会,我还在想怎么搞,真的做梦了,在梦中渗透起来了,其实我也忘了具体渗透的什么,但是确实心里有东西。
弱口令:
终于,我醒了,我只记得,我脑袋里记得一个账号密码,在我嘴上说不出来,打开那个系统,输入了一个XXX1,密码:123456.
我草(一种药材)!进去了,行了,直接高危拿下,涉及用户信息20万+条。
考虑了一下,这样也不能交差呀,然后和朋友就说起这个事情,他又机制的把XXX1改成XXX2,成功登录了,然后后面继续遍历,……XXX50. 这样好交差一些。
既然进去了,就多搞点事情吧,能多拿分就多拿分,尝试了所有上传点,和PUT点,全部都没用,都没有shell点,开始测试别的洞。
SQL注入:
使用burp抓包,手工测试,在数据包闭合后,设置延时,生效了,直接扔进sqlmap,去测试其他交互数据点,多处存在SQL注入,一并打包提交。
0121%27and%28select%2B1%29%3E0waitfor%2F%2A%2A%2Fdelay%270%3A0%3A0
0121'and(select+1)>0waitfor/**/delay'0:0:0
shiro权限绕过:
/;/,此处省略URL……
存在此漏洞,开始写报告,打包提交前线攻防小伙伴。
0x03 总结
有压力就有动力,漏洞竟然是做梦 梦出来的,好吧继续努力。
转载请注明:Adminxe's Blog » 记一次睡梦中某核酸检测系统的渗透测试