记一次对SRC站点测试

各位网友们，大家好，欢迎点进小编的文章，我是一个专一的小编，专业爆料娱乐圈最新热点，来阅读小编的文章了解娱乐圈的家常百态吧，不仅可以在百忙之中放松心情，还可以get到喜欢的明星八卦，茶余饭后又多了与朋友交流的话题，如若喜欢小编的文章，记得点赞关注哦！这是小编每日工作的动力呢，有了你们喜欢的肯定，小编会再接再厉，奉上热文，祝广大网友顺心如意，好运连连！

记一次对SRC站点测试，域名：http://xxx.xxx.cn/

服务器系统：暂时无法确定

中间件：Tomcat/JBoss

脚本：jsp

数据库：暂时无法确定

根据已有的信息有如下几点思路：

可以测试登录框是否存在SQL注入可以测试是否存在JBoss反序列化漏洞后台没有验证码，可以尝试爆破根据上述思路分别进行测试：

1. SQL注入

手工测试引号无报错

抓包使用神器sqlmap测试

测试不存在SQL注入，此时也可以大致判断该站点不存在WAF，否则应该被拦。

2. JBoss反序列化漏洞

使用工具进行测试，返回漏洞不存在

3. 登录爆破

上面两种思路行不通后，还剩登录爆破一种方法，但是登录爆破最好能先确定账户，再去爆破密码。此处可以看到错误提示是：“用户名或密码错误,请重试!”，而不是理想中的“用户名不存在”或者“密码错误”之类的提示。

这是遇到的第一个问题，如果盲目的爆破成功率不高，不过爆破本来也讲究运气成分。此时我陷入了沉思，仔细回想了一下渗透测试心法口诀要领，发现好像并没啥用。

登录爆破

在思考的过程中，顺手右键查看源代码，有了新的发现，如下：

所以一定要养成查看源代码的习惯，此处html注释了忘记密码的链接，故页面上不呈现，但拼接访问功能是正常的。

上面返回的是“用户不存在”，此处可以先爆破用户名。使用burp抓包进行暴力破解，分别采用了3、4、5、6位数字字典各选一百个左右进行测试，均不存在，此处略去过程，然后测试姓名拼音的字典。

如上邮件不匹配说明存在该用户，否则是用户不存在。故成功爆破出了用户名，导出用户名进行密码爆破，同理在登录处抓包爆破。

成功爆破出弱口令密码为123456的账户ligang

文件上传

如上成功登录了管理功能界面，此时应该尝试的是寻找文件上传点，通过上传进行Getshell。

大致浏览了一下管理功能页面，发现可利用的上传点有2处：

1、KindEditor4.1.10 (2013-11-23) 编辑器，貌似暂时无解

2、自带的上传功能

测试自带的上传，发现附件处可以上传jsp文件，但无路径，访问提示下载

在此类的jsp网站中，上传了文件后是通过类似ShowPicAction?showstyle=_s&attachid=8ae57e81638fe1600166dxxx去访问的，若想找文件上传真实路径难度很大

SQL注入

在上述问题思考一段时间未解决后，觉得应该先放一放，看看有没有其他可以利用的地方。通过查看burp发现Referer处url引起了我的注意，如下：

xx.jsp?id=xx，这样的形式不是最可能存在SQL注入的嘛，手工测试下

加个单引号，爆了SQL语句错误，初步判断存在SQL注入，此处测试在未登录的情况下无法访问该页面，因此必须携带cookies进行访问，抓包使用sqlmap进行测试。

的确为SQL注入，当前用户为sa，因注入类型不支持，故无法直接执行系统cmd命令。此时的思路有：

1、看服务器是否对公网开放1433端口【此处未开放】

2、读取系统管理员密码，登录系统管理员后台，可能功能模块更多

后台getshell

通过上述的思路获取管理员的账号密码，此为sqlmap的基本操作，略去细节

花了一块钱解密了sysadmin1的密码进行登录

在把左边的菜单栏都几乎点了一遍，都没可利用的后，才发现右上角有个系统设置，顿时有点身心疲惫的感觉。

系统管理员的功能确实多很多，如下，获取到了数据库连接信息

通过一项项的测试，终于找到一处上传是直接返回路径的，采用js本地验证，通过burp抓包修改后缀绕过

访问shell的路径，成功拿到shell

如上，当前服务器为内网环境，当前用户已经为管理员权限，可以直接添加用户，因此省去了提权的步骤

代理进入内网

如上可知服务器在内网，需通过代理才能进行访问，此处使用reGeorg+SocksCap建立ss5代理，从而进入内网。