【渗透实战】那些奇葩的WAF_第二期_无意发现通杀漏洞,空字节突破上传!
/文章作者:Kali_MG1937
CSDN博客号:ALDYS4
QQ:3496925334
未经许可,禁止转载/
该博文为本人18年左右的渗透记录,文法粗糙,技术含量极低,流水账文章,且今日不知为何被顶上博客首页
为了避免您在观看过程中由于本废蛆费垃不堪的渗透手法而造成的大脑降级,强烈您建议关闭本页面,,,
第一期:【渗透实战】那些年我们遇到的奇葩WAF_第一期_请求方式绕过
■自评Rank:15
■所有敏感细节全部打码
■部分细节对外开放
寻找可控参数
闲着无聊找洞挖,发现一个企业站点
链接几乎全是伪静态,
网站内的搜索引擎也全部用安全狗防得严严实实
那么试试看百度语法搜索有没有带可控参数的链接
看来找不到
换个思路下手
旁站?c段?
先别急,看看robots.txt文件是否存在
站长没有屏蔽搜索引擎显示某些内容
那么试试运气,看看能不能搜索到这个网站的后台
site:域名 inurl:admin
判断是否有漏洞存在
luck
先进去看看,有意思的是这个后台登入页面没有验证码
先试试看存不存在内联注入漏洞
用户名:'or''='
回车!
再试试看给定用户名一个false条件
回车!
第一次我给与用户名一个true条件,返回的提示是密码错误
第二次我给的是false条件,返回账号不存在,那么就是我第一次输入的内容让服务器查询至最后一名用户,而密码却不正确,基本上可以断定存在注入点
神器sqlmap上场
成功跑出后台的账号密码
登入后台
上传突破
很可惜的是,这个后台管理系统的文件上传功能几乎没有任何可控参数
路径不可控,文件名会被强行改为当前时间+日期.jpg
这时候就不能死咬着一块地方了
从后台的信息中得知这个网站实际上只是一个子域名
后台信息中记录着它的主站点
打开主站看看
令人无语的是,不仅仅是刚刚它的分站拥有内联注入漏洞
就连主站都有
利用or的优先级绕过密码和用户名检查
来到某个分站的后台
同样的,它也拥有一个上传点
不过幸运的是,它的上传路径可控
文件上传后的格式为路径+当前日期.jpg
比如我在上传路径后加上1.asp
最终文件上传后就在images/upfile/admin/下的1.asp+当前日期.jpg
由于这个服务器没有解析漏洞
所以我尝试利用空字节截断上传名称
最终上传成功
接着就用菜刀或者其它的shell管理工具连接就好
通杀漏洞发掘
还记得我之前说到的那个分站吗
我试着用百度语法搜索了它的后台管理系统的名称
有多达十几页的站点(可能不止)在用这个后台管理系统
而且最新的2019版仍然存在漏洞,并且它存放管理员账号密码的表和列名完全一致
emmm
我tm社保
【渗透实战】那些奇葩的WAF_第二期_无意发现通杀漏洞,空字节突破上传!的更多相关文章
- 【渗透实战】那些年我们遇到的奇葩WAF_第一期_请求方式绕过
/文章作者:Kali_MG1937 CSDN博客:ALDYS4 QQ:3496925334/ 该博文为本人18年左右的渗透记录,文法粗糙,技术含量极低,流水账文章,且今日不知为何被顶上博客首页 为了避 ...
- 【渗透实战】web渗透实战,手动拿学校站点 得到上万人的信息(漏洞已提交)
------------恢复内容开始------------ ’‘’版权tanee转发交流学校请备注漏洞已经提交学校管理员关键过程的截图和脚本代码已经略去.希望大家学习技术和思路就好,切勿进行违法犯罪 ...
- 【工具解析】瑞士军刀bettercap2.X_解析_第二期_内网钓鱼(嗅探)工具编写
/文章作者:Kali_MG1937 CNBLOG博客:ALDYS4 QQ:3496925334/ 第一期: https://www.cnblogs.com/aldys4/p/14877783.html ...
- SQL时间第二期_时间格式化
0 或 100 (*) 默认值 mon dd yyyy hh:miAM(或 PM) 1 101 美国 mm/dd/yyyy ...
- 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网
/文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的 ...
- [红日安全]Web安全Day5 - 任意文件上传实战攻防
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正. 大家好,我们是红日安全-Web安全攻防小组.此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目 ...
- 小象学院Python数据分析第二期【升级版】
点击了解更多Python课程>>> 小象学院Python数据分析第二期[升级版] 主讲老师: 梁斌 资深算法工程师 查尔斯特大学(Charles Sturt University)计 ...
- PowerUp攻击渗透实战
记录下PowerUp在实战渗透中的利用 准备环境: kali linux 攻击机 已获得靶机meterpreter(非管理)权限 win7 靶机 拥有powershell环境 1)Invoke-Al ...
- Raven1渗透实战
Raven1渗透实战 目录: 1.wordpress爆破用户 2.wp-config得到数据库账号密码 3.ssh连接4.pythn提权(sudo python -c 'import pty;pty. ...
随机推荐
- 【Git】3. Git重要特性-分支操作,合并冲突详解
一.分支介绍 在版本控制过程当中,有时候需要同时推进多个任务,这样的话,就可以给每个任务创建单独的分支. 有了分支之后,对应的开发人员就可以把自己的工作从主线上分离出来,在做自己分支开发的时候,不会影 ...
- 如何解决异步接口请求快慢不均导致的数据错误问题? - DevUI
DevUI 是一款面向企业中后台产品的开源前端解决方案,它倡导沉浸.灵活.至简的设计价值观,提倡设计者为真实的需求服务,为多数人的设计,拒绝哗众取宠.取悦眼球的设计.如果你正在开发 ToB 的工具类产 ...
- VS Code 远程开发
听说有人想用VS Code实现远程开发,今天他来了 Remote Development Always reveal the SSH login terminal, 还可加装免密登录,一键登录尽显奢华 ...
- 全套Project版本安装教程及下载地址
1:Project 2007 安装教程及下载地址 https://mp.weixin.qq.com/s/8iI7x1qjon0yAdo3bStjzw 2:Project 2010 安装教程及下载地址 ...
- Python数模笔记-Sklearn(4)线性回归
1.什么是线性回归? 回归分析(Regression analysis)是一种统计分析方法,研究自变量和因变量之间的定量关系.回归分析不仅包括建立数学模型并估计模型参数,检验数学模型的可信度,也包括利 ...
- IP包头部格式解析
IPv4首部一般是20字节长.在以太网帧中,IPv4包首部紧跟着以太网帧首部,同时以太网帧首部中的协议类型值设置为080016. IPv4提供不同,大部分是很少用的选项,使得IPv4包首部最长可扩展到 ...
- mysql登录框注入绕过单引号匹配
0x00 原理 网站使用正则匹配对用户名一栏传到服务器的参数进行了匹配,如果匹配到了单引号则报错 0x01 简单例子 当我们输入admin'时,网站直接报错,很有可能就是用了正则,这样我们也不 ...
- top,它们的意思分别是1分钟、5分钟、15分钟内系统的平均负荷。
理解Linux系统负荷 作者: 阮一峰 日期: 2011年7月31日 一.查看系统负荷 如果你的电脑很慢,你或许想查看一下,它的工作量是否太大了. 在Linux系统中,我们一般使用uptime ...
- iozone测试方法-20191008
iozone 一.简介 磁盘设备之上是文件系统,测试磁盘的工具往往就是调用驱动块设备驱动的接口进行读写测试.而文件系统的测试软件就是,针对文件系统层提供的功能进行测试,包括文件的打开关闭速度以及顺 ...
- SUSE 11sp3镜像制作
在安装过程遇到的问题: 起初采用官网推荐的virt-install工具,客户端没有用virt-manager或者virt-view一直无法进行操作系统安装,于是改用,直接启动虚拟机,便ok了. 1.环 ...