记一次某厂商众测

前言

首先庆祝自己收获500粉丝，哈哈哈😝。给大家加点料。
好久没有发渗透测试的文章了，翻找之前众测了某厂商，把拿到shell的过程简单写一下。

锁定目标

在海量的子域名中，长时间的探测，发现http://insura.xxx.com/ 该域名没有任何防护。

image.png

扫描目录

image.png

扫描发现Admin、business、logs、WebService 四个目录
Admin的后台

image.png

business的后台

image.png

logs 应该是记录日志的文件夹，可以使用日期的格式进行爆破log日志。
如2020-08-08.gz、2020-08-08.zip

WebService 只有一个测试页面。

image.png

万能密码

首先看Admin这个后台管理系统。
爆破admin用户无果，爆破普通用户无果。没有任何的提示信息。
灵魂输入万能密码'or '1'='1完美进入后台。
思考：这里可以用burp的scanner直接扫描该后台，也可以发现sql注入

image.png

ueditor 编辑器

点击后台的"附加险管理"，发现ueditor 1.4.3编辑器

image.png

只记得该编辑器的aspx版本存在漏洞，jsp版本下未发现漏洞。

business 后台

再看business后台。
存在admin用户，爆破密码无果，sql注入未果。

image.png

敏感js页面

查看访问business的数据包。

image.png

有多个js页面加载。
查看每一个js，并批量检索path、include、upload、download等敏感参数。
当检索upload时，有发现。

image.png

尝试访问jsp/include/upload/globalUpload.jsp，竟然可以越权访问。

image.png

果断上传jsp木马，点击竟然没有反应。
F12 定位标签，看到点击触发onclickto 方法。

image.png

console控制台输入该方法javascript:upload_onClick()，也没有效果。

image.png

回过头再次查看burp中的数据包，在访问该上传页面时，又有好多js加载进来。还是重复之前的操作，查看js，检索upload、path等关键字。
检索download关键字时，发现任意文件读取漏洞。

image.png image.png

检索upload关键字，指向了business/jsp/include/upload/upload4Global.jsp?uploadDir=upload/dialog，访问该页面。

image.png

就是这个上传功能，点击上传按钮依然没有反应。
console控制台再次输入javascript:upload_onClick()，可成功上传。

image.png