记第一次渗透测试某学校网站

1 信息收集：
    CMS指纹识别：http://ip/ [200 OK] ASP_NET, Cookies[ASPSESSIONIDSABSTSCR,_d_id], 
    Country[CANADA][CA], HTTPServer[Microsoft-IIS/8.5], HttpOnly[ASPSESSIONIDSABSTSCR,_d_id], IP[47.244.194.224], 
    JQuery, Microsoft-IIS[8.5], Script[text/javascript], Title[������ѧҵ����ѧԺ], X-UA-Compatible[IE=EmulateIE7]  
    
    说明网站是用ASP写的，中间件是IIS8.5(这里有一个文件解析漏洞，不知道是否还存在，待会可以进行尝试)
    
    ip：47.244.194.224 查到不同的域名有五个：点进去其实是四个，一个显示的是IIS界面，其余四个可以正常访问
    

    目录扫描：用御剑扫描出不存在CDN服务器，因为已经识别出来是用asp写的，所以目录扫描主要扫asp文件目录
    好像发现了一个不得了的网页wc

    文件上传的站点，必须好好搞一搞看看是否有文件上传漏洞
    剩下扫描的目录要么访问的是空白，要么就是主页能够访问到的内容
    
    
    
    端口扫描：nmap -T4 -A -v ip
    这里检测出了三个端口，80，8080，443，并且有对应的中间件和版本信息
    80/tcp   open   http    Microsoft IIS httpd 8.5 ------这个就是目标站的信息
    443/tcp  closed https
    8080/tcp open   http    Apache httpd 2.4.12 ((Win64) PHP/5.6.9)
    Requested resource was http://ip:8080/index.php/manager/login---可能是某个旁站的登录后台，但是无法访问，
        也许修改一下ip变为域名可能可以，之后再看，试试旁站有没有这个网页
        http://域名/index.asp/manager/login 当我访问目标站的这个目录的时候出现了：HTTP/1.1 404 未找到
        不知道这个http版本是我的版本还是目标机的版本，留着看看吧，而且上网搜了搜好像也没啥用
                                        
    Service Info: OS: Windows ----操作系统是windows(一些文件上传黑名单漏洞就可以搞事了)

    whois信息收集：域名
    ip
    其他常用域名后缀查询： cn com cc net org
    注册商    某投资有限公司
    联系人   某某某   
    联系邮箱    ****18981@qq.com 
    创建时间    2021年06月09日
    过期时间    2024年06月09日 
    DNS    ns9.ns365.net   ns10.ns365.net
    
    
    子域名收集：使用的是潮汐扫出了上面没有的中间件 Safedog/4.0.0(waf防护)，以及那个隐藏的邮箱(在真实渗透中可以钓鱼)，没有子域名
    
    
    旁注(同一ip不同域名，或者说是同一服务器不同网站)和c段：查到不同的域名有五个：点进去其实是四个
    
    
    铭感信息收集：没有搜集到任何信息，我去
    
    信息收集这块就差不多到这了，然后整理一下所有的信息，继续测试漏洞

2 挖漏洞
    根据前面信息收集所找的两个地方，http://域名/upload_dialog.asp---可能有文件上传漏洞
    中间件是IIS8.5(有一个文件解析的版本漏洞，也可以尝试)
    剩下的就是sql注入，xss注入，csrf，这些是相对容易进行测试的，而ssrf与rce、反序列化，xxe，变量覆盖是不太好找的，如果有源码的话可以根据危险函数去找，
    然后还有一些逻辑漏洞，比如说越权，验证码，支付逻辑漏洞，未授权等等，都得找一遍
    -----------------------------------------------------------
    还是先试一试上面信息收集的那两个有没有漏洞
    
    首先就是测试IIS7.5的文件解析漏洞，根据漏洞可知只要文件后缀有asp就可以将其解析为asp文件，所以抓包修改文件名为1.asp.jgp
    上传，但是遇到了waf([禁] filename:"<%eval(request("123"))%>") ，之前信息收集是知道waf是Safedog/4.0.0，去网上找找看有没有什么方法可以绕过

    因为这个网站漏洞好像有点多，但是都被waf保护了无法去测试
    网上有说，对于sql注入一个是将空格替换成注释符去绕过，但是随着版本的更替这个简单的绕过已经不行了，随后用fuzz测试进行尝试绕过
    那么我想，对于文件上传这里，他应该是对危险函数进行的正则判断，可不可以在危险函数这里加注释尝试进行绕过呢？
    或者我直接去网上找找看，是否有这个waf版本的文件上传绕过，也就不用这么麻烦了，先试试上面的那个想法，不行的话再去搜
    先尝试一下<%(request("123"))%>，看是否是过滤了危险函数，[禁][上传文件:2.asp.jpg 内容不符][filename]
    3C 25 28 72 65 71 75 65 73 74 28 22 │<%(request("  --------所以这里是直接对内容进行校验，校验是否是图片，那么危险函数的尝试
    也就不用再进行了，这里试试看是否可以用图片马去搞事情(这里涉及到图片马的制作，可以参考我之前的upload靶场)
    这里可以看到其实是绕过了waf的，这个应该是后台的校验，只是什么没显示可以上传的文件类型，依次试了jgp，png，gif，asp好像都不行

 只能再试试别的地方了，而且这里可以看出是白名单

------------------------------------------------------------------------------------------

先见框就插入xss试试

这里有个最大长度的限制，审查发现是前端的限制，直接修改即可

然后又出现了这个画面(该死的waf)

 

 再去搜搜 看能否绕过waf，首先依次尝试，看过滤了哪些标签，哪些标签没有被过滤

  标签：

1. <script> <a> <p> <img> <body> <button> <var> <div> <iframe> <object> <input>

2. <textarea> <keygen> <frameset> <embed> <svg> <math> <video> <audio> <select>

没有过滤的标签：<p>\<a>\<img>\<button> \<body><var><div><object><input>

                             <textarea> <keygen> <frameset> <embed> <svg> <math> <video>

                            <audio> <select>

并且他是禁掉了<onerror><onfocus><onclick>这个几个关键字

 

 <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>  

 <object data="data:text/html;md5,f1f289232f81d4d7"></object> 

还是被禁掉了，那么尝试一下别的框

说明这里是没有waf的，我再试试看<script>alert(1)</script>--------这里的确是没有waf的，ok，那么继续尝试看看有没有机会绕过这里的后端验证，这里应该是非法字符的黑名单

并且经过刚才的尝试，发现这个黑名单除了上面有的，还有一个=，也就是禁掉了url编码，base64编码，

也不行，只能再试试别的地方了

哦对了，网上说绕过waf的方式，但我看了看好像都是要用到注释符，这里被禁掉了好像也没别的办法了，只能先放下

-------------------------------------------------------------

先用sqlmap跑一遍这个教务端的登录框好了，累了歇会(肯定要用到绕waf的脚本)，并且去网上搜相应的扩展或者自己写(并不会写)

ok，不出所料，没有，那么继续下一个漏洞的尝试，别问，问就是不想做sql注入的测试，实在是太多了，除非有明确的注入方向

ps：好吧，其实人家网站防护做的还是可以的，不光是waf防护，后端也是做了很严密的防护

--------------------------------------------------------------

接下来在那个登录框框尝试一下csrf吧(并不抱有什么希望)

没啥用啊也，这里修改不了任何东西，除非能进去登录以后然后才能尝试csrf，继续下一个漏洞

-------------------------------------------------------------

因为是黑盒测试，所以很多东西都没法去测试，比如一些rce，ssrf，反序列化等等，都是没办法的，然后这个官网很简单，也没有什么逻辑方面的漏洞可以去尝试的，所以这次测试差不多到这里就结束了，虽然没找到任何漏洞，但是我觉得那个文件上传那里还是有点东西的，并且学到了不少东西，也复习了之前学过的一些东西，这里把一些新学的东西整理一下吧。

-----------------------------------------------------------------

1 IIS8.5的文件解析漏洞

2 waf的一些简单的sql绕过，xss绕过，文件名上传绕过

fuzz绕过利用：

 

waf的一些绕过姿势：

首先就是先去不断地测试，找出被waf过滤的字符，以及剩下可以利用的字符，然后再分情况看是否可以进行绕过，然后还有一些新学到的东西：

内联注释绕过：/**/等形式

以及信息收集阶段学到的新东西：潮汐cms识别，whatweb