齐天第一题writeup

重新建了一个渗透测试交流群

原因为了聚集一帮真正有经验的小伙伴

群内主要交流漏洞复现，代码审计，0day交换等等

为了保证群内成员的质量和方便管理

设置了一个很简单的入群题，详情见：

https://shimo.im/docs/FEYIyUwF7NoHNEQE

一：

访问www.network-security.cn

出现一个安全狗403页面

很多人以为是绕安全狗并且看见安全狗就畏惧了

还有的人看不到index就不会玩了

这类人说得不好听就确实不够资格进齐天，不是一个水平

其实很简单，加上robots.txt

一眼即可看出siteserver程序

真正的老鸟看到这款程序恐怕不会需要5分钟即可搞定

Siteserver默认后台/Siteserver/login.aspx

这道题可以用N种方式搞定

这里我给一个比较科学的混合拳方式

二：

第一个漏洞：

在找回密码的时候有个答案，是使用JavaScript限制的答案长度不能为0，禁用掉浏览器的JavaScript即可绕过

但在之前需要知道管理员用户名

这里就需要第二个漏洞结合。

三：

Siteserver一向权限控制不严谨

我这里直接说怎么做

文尾给出相关链接

首先在抓包情况下请求：

/siteserver/platform/background_dbSqlQuery.aspx

拦截这个请求，进入到下一个请求

将302改成200

成功越权到数据库查询命令页面

执行select * from bairong_administrator

继续拦截这个post包，进入到下一个包

再将302改成200

成功查询到bairong_administrator（siteserver的管理员表）

由于siteserver的密码加密是对称加密，没有key只能看着

但是得到了用户名可以结合第一个密码找回漏洞完成

输入了用户名后进入下一步，禁用掉浏览器JavaScript

切换了JavaScript状态以后直接点下一步

这里通过两个漏洞成功得到管理员的用户名和密码

四：

GET webshell

可以直接新建aspx文件，没什么好说的了。

本来是想用安全狗拦一下，因为一个老鸟是肯定有办法的

考虑到会有人说我为了过狗马

我就自己新建了一个过狗马，让有些没有马的可以直接搞定

成功取得flag，这道题是真的简单。

不客气的说，只要是有点经验的渗透测试工程师包括业余的爱好者都能搞定

原计划是每个月更新一次入群题，逐渐增加难度

但我没想到这么一道简单的题，还有些人浑水摸鱼做出来的。

这不符合我初衷，所以这道题暂时关了

下一道题希望大家不要分享flag和writeup

物以类聚，人以群分。