1 信息收集:
CMS指纹识别:http://ip/ [200 OK] ASP_NET, Cookies[ASPSESSIONIDSABSTSCR,_d_id],
Country[CANADA][CA], HTTPServer[Microsoft-IIS/8.5], HttpOnly[ASPSESSIONIDSABSTSCR,_d_id], IP[47.244.194.224],
JQuery, Microsoft-IIS[8.5], Script[text/javascript], Title[������ѧҵ����ѧԺ], X-UA-Compatible[IE=EmulateIE7]
说明网站是用ASP写的,中间件是IIS8.5(这里有一个文件解析漏洞,不知道是否还存在,待会可以进行尝试)
ip:47.244.194.224 查到不同的域名有五个:点进去其实是四个,一个显示的是IIS界面,其余四个可以正常访问
目录扫描:用御剑扫描出不存在CDN服务器,因为已经识别出来是用asp写的,所以目录扫描主要扫asp文件目录
好像发现了一个不得了的网页wc
文件上传的站点,必须好好搞一搞看看是否有文件上传漏洞
剩下扫描的目录要么访问的是空白,要么就是主页能够访问到的内容
端口扫描:nmap -T4 -A -v ip
这里检测出了三个端口,80,8080,443,并且有对应的中间件和版本信息
80/tcp open http Microsoft IIS httpd 8.5 ------这个就是目标站的信息
443/tcp closed https
8080/tcp open http Apache httpd 2.4.12 ((Win64) PHP/5.6.9)
Requested resource was http://ip:8080/index.php/manager/login---可能是某个旁站的登录后台,但是无法访问,
也许修改一下ip变为域名可能可以,之后再看,试试旁站有没有这个网页
http://域名/index.asp/manager/login 当我访问目标站的这个目录的时候出现了:HTTP/1.1 404 未找到
不知道这个http版本是我的版本还是目标机的版本,留着看看吧,而且上网搜了搜好像也没啥用
Service Info: OS: Windows ----操作系统是windows(一些文件上传黑名单漏洞就可以搞事了)
whois信息收集:域名
ip
其他常用域名后缀查询: cn com cc net org
注册商 某投资有限公司
联系人 某某某
联系邮箱 ****18981@qq.com
创建时间 2021年06月09日
过期时间 2024年06月09日
DNS ns9.ns365.net ns10.ns365.net
子域名收集:使用的是潮汐扫出了上面没有的中间件 Safedog/4.0.0(waf防护),以及那个隐藏的邮箱(在真实渗透中可以钓鱼),没有子域名
旁注(同一ip不同域名,或者说是同一服务器不同网站)和c段:查到不同的域名有五个:点进去其实是四个
铭感信息收集:没有搜集到任何信息,我去
信息收集这块就差不多到这了,然后整理一下所有的信息,继续测试漏洞
2 挖漏洞
根据前面信息收集所找的两个地方,http://域名/upload_dialog.asp---可能有文件上传漏洞
中间件是IIS8.5(有一个文件解析的版本漏洞,也可以尝试)
剩下的就是sql注入,xss注入,csrf,这些是相对容易进行测试的,而ssrf与rce、反序列化,xxe,变量覆盖是不太好找的,如果有源码的话可以根据危险函数去找,
然后还有一些逻辑漏洞,比如说越权,验证码,支付逻辑漏洞,未授权等等,都得找一遍
-----------------------------------------------------------
还是先试一试上面信息收集的那两个有没有漏洞
首先就是测试IIS7.5的文件解析漏洞,根据漏洞可知只要文件后缀有asp就可以将其解析为asp文件,所以抓包修改文件名为1.asp.jgp
上传,但是遇到了waf([禁] filename:"<%eval(request("123"))%>") ,之前信息收集是知道waf是Safedog/4.0.0,去网上找找看有没有什么方法可以绕过
因为这个网站漏洞好像有点多,但是都被waf保护了无法去测试
网上有说,对于sql注入一个是将空格替换成注释符去绕过,但是随着版本的更替这个简单的绕过已经不行了,随后用fuzz测试进行尝试绕过
那么我想,对于文件上传这里,他应该是对危险函数进行的正则判断,可不可以在危险函数这里加注释尝试进行绕过呢?
或者我直接去网上找找看,是否有这个waf版本的文件上传绕过,也就不用这么麻烦了,先试试上面的那个想法,不行的话再去搜
先尝试一下<%(request("123"))%>,看是否是过滤了危险函数,[禁][上传文件:2.asp.jpg 内容不符][filename]
3C 25 28 72 65 71 75 65 73 74 28 22 │<%(request(" --------所以这里是直接对内容进行校验,校验是否是图片,那么危险函数的尝试
也就不用再进行了,这里试试看是否可以用图片马去搞事情(这里涉及到图片马的制作,可以参考我之前的upload靶场)
这里可以看到其实是绕过了waf的,这个应该是后台的校验,只是什么没显示可以上传的文件类型,依次试了jgp,png,gif,asp好像都不行
只能再试试别的地方了,而且这里可以看出是白名单
------------------------------------------------------------------------------------------
先见框就插入xss试试
这里有个最大长度的限制,审查发现是前端的限制,直接修改即可
然后又出现了这个画面(该死的waf)
再去搜搜 看能否绕过waf,首先依次尝试,看过滤了哪些标签,哪些标签没有被过滤
标签:
1. <script> <a> <p> <img> <body> <button> <var> <div> <iframe> <object> <input>
2. <textarea> <keygen> <frameset> <embed> <svg> <math> <video> <audio> <select>
没有过滤的标签:<p>\<a>\<img>\<button> \<body><var><div><object><input>
<textarea> <keygen> <frameset> <embed> <svg> <math> <video>
<audio> <select>
并且他是禁掉了<onerror><onfocus><onclick>这个几个关键字
<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>
<object data="data:text/html;md5,f1f289232f81d4d7"></object>
还是被禁掉了,那么尝试一下别的框
说明这里是没有waf的,我再试试看<script>alert(1)</script>--------这里的确是没有waf的,ok,那么继续尝试看看有没有机会绕过这里的后端验证,这里应该是非法字符的黑名单
并且经过刚才的尝试,发现这个黑名单除了上面有的,还有一个=,也就是禁掉了url编码,base64编码,
也不行,只能再试试别的地方了
哦对了,网上说绕过waf的方式,但我看了看好像都是要用到注释符,这里被禁掉了好像也没别的办法了,只能先放下
-------------------------------------------------------------
先用sqlmap跑一遍这个教务端的登录框好了,累了歇会(肯定要用到绕waf的脚本),并且去网上搜相应的扩展或者自己写(并不会写)
ok,不出所料,没有,那么继续下一个漏洞的尝试,别问,问就是不想做sql注入的测试,实在是太多了,除非有明确的注入方向
ps:好吧,其实人家网站防护做的还是可以的,不光是waf防护,后端也是做了很严密的防护
--------------------------------------------------------------
接下来在那个登录框框尝试一下csrf吧(并不抱有什么希望)
没啥用啊也,这里修改不了任何东西,除非能进去登录以后然后才能尝试csrf,继续下一个漏洞
-------------------------------------------------------------
因为是黑盒测试,所以很多东西都没法去测试,比如一些rce,ssrf,反序列化等等,都是没办法的,然后这个官网很简单,也没有什么逻辑方面的漏洞可以去尝试的,所以这次测试差不多到这里就结束了,虽然没找到任何漏洞,但是我觉得那个文件上传那里还是有点东西的,并且学到了不少东西,也复习了之前学过的一些东西,这里把一些新学的东西整理一下吧。
-----------------------------------------------------------------
1 IIS8.5的文件解析漏洞
2 waf的一些简单的sql绕过,xss绕过,文件名上传绕过
fuzz绕过利用:
waf的一些绕过姿势:
首先就是先去不断地测试,找出被waf过滤的字符,以及剩下可以利用的字符,然后再分情况看是否可以进行绕过,然后还有一些新学到的东西:
内联注释绕过:/**/等形式
以及信息收集阶段学到的新东西:潮汐cms识别,whatweb