【渗透实战】那些奇葩的WAF_第二期_无意发现通杀漏洞,空字节突破上传!
/文章作者:Kali_MG1937
CSDN博客号:ALDYS4
QQ:3496925334
未经许可,禁止转载/
该博文为本人18年左右的渗透记录,文法粗糙,技术含量极低,流水账文章,且今日不知为何被顶上博客首页
为了避免您在观看过程中由于本废蛆费垃不堪的渗透手法而造成的大脑降级,强烈您建议关闭本页面,,,
第一期:【渗透实战】那些年我们遇到的奇葩WAF_第一期_请求方式绕过
■自评Rank:15
■所有敏感细节全部打码
■部分细节对外开放
寻找可控参数
闲着无聊找洞挖,发现一个企业站点

链接几乎全是伪静态,
网站内的搜索引擎也全部用安全狗防得严严实实
那么试试看百度语法搜索有没有带可控参数的链接

看来找不到
换个思路下手
旁站?c段?
先别急,看看robots.txt文件是否存在

站长没有屏蔽搜索引擎显示某些内容
那么试试运气,看看能不能搜索到这个网站的后台
site:域名 inurl:admin

判断是否有漏洞存在
luck
先进去看看,有意思的是这个后台登入页面没有验证码
先试试看存不存在内联注入漏洞
用户名:'or''='

回车!

再试试看给定用户名一个false条件

回车!

第一次我给与用户名一个true条件,返回的提示是密码错误
第二次我给的是false条件,返回账号不存在,那么就是我第一次输入的内容让服务器查询至最后一名用户,而密码却不正确,基本上可以断定存在注入点
神器sqlmap上场

成功跑出后台的账号密码
登入后台

上传突破
很可惜的是,这个后台管理系统的文件上传功能几乎没有任何可控参数
路径不可控,文件名会被强行改为当前时间+日期.jpg
这时候就不能死咬着一块地方了
从后台的信息中得知这个网站实际上只是一个子域名
后台信息中记录着它的主站点
打开主站看看

令人无语的是,不仅仅是刚刚它的分站拥有内联注入漏洞
就连主站都有
利用or的优先级绕过密码和用户名检查
来到某个分站的后台

同样的,它也拥有一个上传点
不过幸运的是,它的上传路径可控
文件上传后的格式为路径+当前日期.jpg

比如我在上传路径后加上1.asp
最终文件上传后就在images/upfile/admin/下的1.asp+当前日期.jpg
由于这个服务器没有解析漏洞
所以我尝试利用空字节截断上传名称

最终上传成功

接着就用菜刀或者其它的shell管理工具连接就好
通杀漏洞发掘
还记得我之前说到的那个分站吗
我试着用百度语法搜索了它的后台管理系统的名称

有多达十几页的站点(可能不止)在用这个后台管理系统
而且最新的2019版仍然存在漏洞,并且它存放管理员账号密码的表和列名完全一致
emmm
我tm社保
【渗透实战】那些奇葩的WAF_第二期_无意发现通杀漏洞,空字节突破上传!的更多相关文章
- 【渗透实战】那些年我们遇到的奇葩WAF_第一期_请求方式绕过
/文章作者:Kali_MG1937 CSDN博客:ALDYS4 QQ:3496925334/ 该博文为本人18年左右的渗透记录,文法粗糙,技术含量极低,流水账文章,且今日不知为何被顶上博客首页 为了避 ...
- 【渗透实战】web渗透实战,手动拿学校站点 得到上万人的信息(漏洞已提交)
------------恢复内容开始------------ ’‘’版权tanee转发交流学校请备注漏洞已经提交学校管理员关键过程的截图和脚本代码已经略去.希望大家学习技术和思路就好,切勿进行违法犯罪 ...
- 【工具解析】瑞士军刀bettercap2.X_解析_第二期_内网钓鱼(嗅探)工具编写
/文章作者:Kali_MG1937 CNBLOG博客:ALDYS4 QQ:3496925334/ 第一期: https://www.cnblogs.com/aldys4/p/14877783.html ...
- SQL时间第二期_时间格式化
0 或 100 (*) 默认值 mon dd yyyy hh:miAM(或 PM) 1 101 美国 mm/dd/yyyy ...
- 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网
/文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的 ...
- [红日安全]Web安全Day5 - 任意文件上传实战攻防
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正. 大家好,我们是红日安全-Web安全攻防小组.此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目 ...
- 小象学院Python数据分析第二期【升级版】
点击了解更多Python课程>>> 小象学院Python数据分析第二期[升级版] 主讲老师: 梁斌 资深算法工程师 查尔斯特大学(Charles Sturt University)计 ...
- PowerUp攻击渗透实战
记录下PowerUp在实战渗透中的利用 准备环境: kali linux 攻击机 已获得靶机meterpreter(非管理)权限 win7 靶机 拥有powershell环境 1)Invoke-Al ...
- Raven1渗透实战
Raven1渗透实战 目录: 1.wordpress爆破用户 2.wp-config得到数据库账号密码 3.ssh连接4.pythn提权(sudo python -c 'import pty;pty. ...
随机推荐
- 每天一道面试题LeetCode 80--删除排序数组中的重复项 II(python实现)
LeetCode 80--删除排序数组中的重复项 II 给定一个排序数组,你需要在原地删除重复出现的元素,使得每个元素最多出现两次,返回移除后数组的新长度. 不要使用额外的数组空间,你必须在原地修改输 ...
- 【python】Leetcode每日一题-搜索排序数组2
[python]Leetcode每日一题-搜索排序数组2 [题目描述] 已知存在一个按非降序排列的整数数组 nums ,数组中的值不必互不相同. 在传递给函数之前,nums 在预先未知的某个下标 k( ...
- Nacos使用 MySQL 8.0 提示Public Key Retrieval is not allowed
原因如下(参考官网给出的连接选项): 如果用户使用了 sha256_password 认证,密码在传输过程中必须使用 TLS 协议保护,但是如果 RSA 公钥不可用,可以使用服务器提供的公钥:可以在连 ...
- 脱离xml使用JavaConfig实现Spring配置
总结 情况一: 配置类中类名添加 @Configuration 注解,同时提供一个方法返回一个Bean实例,且这个方法添加注解 @Bean ,就可以由Spring管理此对象 如下所示: User.ja ...
- word打印华文字体出现乱码
乱码原因:打印机自带字体库支持的问题 解决方法:解决方法是修改打印机的设置,不使用打印机的字体,直接使用电脑的字体. 具体操作:控制面板-设备和打印机-选中要设置的打印机-打印首选项-图像品质-设置字 ...
- idea 2018.3.3版本激活到
新装的,还是试用版本,下面就是进行激活操作: 先下载 链接: https://pan.baidu.com/s/1o44bsO7tx3WGuO5GgT0ytw 提取码: gbmw 第一步:将bi ...
- python工业互联网应用实战14——单元测试覆盖率
前面的章节我们完成了任务管理主要功能的开发及单元测试编写,可如何知道单元测试效果怎么样呢?测试充分吗?还有没有没有测到的地方呢? 本章节我们介绍一个统计测试代码覆盖率的利器Coverage,Cover ...
- FTP文件上传
一.配置FTP文件服务器 以Ubuntu为例 FTP两种模式简介 PORT(主动模式) 第一步FTP客户端首先随机选择一个大于1024的端口p1,并通过此端口发送请求连接到FTP服务器的21号端口建立 ...
- Django(13)django时区问题
前言 我们都知道时区,标准时区是UTC时区,django默认使用的就是UTC时区,所以我们存储在数据库中的时间是UTC的时间,但是当我们做的网站只面向国内用户,或者只是提供内部平台使用,我们希望存储在 ...
- qsort和sort学习与比较
阅读另一篇博文Uva 642 - Word Amalgamation sort qsort 1.qsort函数: 原 型: void qsort(void *base, int nelem, int ...