0x01 前言

在上次攻防演练中，给定的资产少之又少，很难找到突破点，但是经过一轮的信息收集，只有一个登录框 爆破无果 js无果 目录扫描发现一个ckfinder 在iis7.5下没啥用 因为是定点打靶标 就没看其他端口 直接上fofa 导出后批量跑了一下备份。最终通过文件上传拿下shell。

一堆资产 随手找个.net的站 （个人感觉攻防演练出洞最多的）

末尾可领取字典等资源文件

0x02 踩坑与碰壁

只有一个登录框 爆破无果 js无果 目录扫描发现一个ckfinder 在iis7.5下没啥用 因为是定点打靶标 就没看其他端口 直接上fofa 导出后批量跑了一下备份

备份扫到几个test.rar

内容如下

因为前期做目标扫描知道有/test目录 知道是test目录的备份 做成字典批量扫描 存在两个未授权 其他都302跳转登录。

俩个查询接口 对其参数fuzz 得到3个参数

根据字面意思 猜测start 和 limit控制起始和范围 query进行查询，构造请求

以为会有sqli 结果并没有。。。好吧好吧 是你逼我的

0x03 继续寻找Getshell

随后对多个站点批量爆破弱口令，终于通过弱口令登录了一个系统，进行黑盒测试 没有一些逻辑洞 权限做的很严格 发现一处上传getshell 可惜需要登录 又不能偷懒了。

检查用户表有没有默认账户和密码 2.审计其他未授权的上传点/登录绕过/sql注入等 通过查看用户表 发现密码还做了加密存储(非md5) 123456 被加密成0TFIiJiAWUk= 目测des ......行啵 工作量+1

0x04 代码审计

sql注入

在一些无需登录的接口中尝试寻找SQL注入

看着这些参数 感觉似曾相识(后面发现那俩接口都做了参数化) 差点就直接跳过了

跟踪SysSubContractItemBll.instance.GetAllEntities 全程没有任何过滤

构造poc

?query=1%27;WAITFOR%20DELAY%20%270:0:5%27--

DecryptDES

有了sqli 对密码进行解密就行了 追踪了一下登录了相关方法

追踪EncryTool.DeCrypt

跟进 DecryptDES 其核心方法为下：

调用调试一下 (刚开始找错key了)

0x05 目标站点Bypass

Sqli bypass

sql注入发现被拦截 改用post 填充大量脏字符绕过

解密后成功登录系统

上传bypass

尝试了很多

最终对Content-Disposition修改 删除form-data 填充脏字符绕过

Content-Disposition:  111111111111111111111111111111111111111111111111111111111111111111111name="Files"; 111111111111111111111111111111111111111111111111111111111111111111111111filename="9.asp";aaaaaaaaa

攻防比挖SRC简单的多，并且都是比较老的站点，没有WAF，最终成功Getshell！

本文来源于漏洞挖掘 渗透安全HackTwo