记一次完整的渗透思路流程，一顿操作轻松拿下system权限，网络安全零基础入门到精通实战教程！-CSDN博客

本文链接：https://blog.csdn.net/Python84310366/article/details/146494683

前记：这几天挖洞的时候碰到个登录框，觉得整个渗透流程还是比较有意思的，于是这里分享给大家

一、获取登录框

首先资产收集到一个管理系统的登录界面

一般登录框的渗透思路无非就是几种： 1.暴力破解密码喷洒 2.登录框sql注入 3.登录框源代码泄露敏感信息 4.前端js找接口或者敏感信息 5.有忘记密码功能点存在逻辑漏洞重置管理员密码 6.配置漏洞，如目录遍历、任意文件读取、任意文件下载等 7.cms框架漏洞，站点利用已知cms搭建且存在公开漏洞 8.扫描敏感目录 9.利用nday直接打 10.扫描端口，通过其他端口做事情 11.登录存在逻辑漏洞，可通过修改返回包等手法直接绕过登录验证 等等

这里登录框没有验证码，于是直接密码喷洒，可惜的是密码确实设置的牛逼，我的大宝贝字典跑烂了也没跑出来

于是直接放弃爆破

源代码也十分简单没有什么可以利用的地方

翻找js也没有有用的东西

熟悉的都知道，这两个都是导入的公开库，没啥有用的东西

二、着手点

本来以为没啥可以突破的点，但是鬼使神差，删减了一下目录，嘿，你猜怎么着

翻找一下，发现存在这个编辑器

如果我没记错的话，它是存在历史漏洞的，直接搜索引擎搜索

来到里面

发现文件死活上传不上

同时iis为8.0

于是只能忍痛放弃这里

继续寻找

发现一处搜索框

看着好简陋，感觉可能存在sql注入

抓包试一试

打个单引号，发现是这种报错，那基本是没有了

继续翻找

发现一个添加功能点

点击添加后

可惜同样不存在sql注入，也没有xss，但是可以添加编辑和删除，也算一枚未授权吧

本来以为到这基本没啥了，能测的都测了

但是还是柳暗花明又一村

三、突破点

既然二级目录有目录遍历，那是不是可能存在其他二级目录也有漏洞

直接上dirseach扫一波

这里放上下载链接： https://github.com/maurosoria/dirsearch

语法为：python dirseach.py -u "xxxxxx" -i 200,301,302

-u就是要扫的url了，-i指定状态码

确实普遍存在目录遍历

但是没啥有用的东西

直接扫一级目录

发现存在test目录，后面也是跟着admin，难道还存在一个测试版的吗？

打开一看，确实一模一样啊，众所周知，测试站总要比正式站更容易打，很可能存在相较于正式站没修复的漏洞

继续来到那个搜索框

抓包测试

万能单引号看看发现了啥，直接报错了，这不有了？！！！

asp的站可以很明显看出是个mssql的数据库

打个时间盲注payload WAITFOR DELAY '0:0:5'--

发现确实存在延迟

直接上sqlmap跑，就不手注了，想学习一下基础手注的小萌新可以看一下我的另一篇文章

发现存在报错注入、时间盲注和堆叠注入

堆叠注入？看看权限

python sqlmap.py -r "xxx" --is-dba

发现是dba权限

那直接os-shell

直接拿下system权限，测试到这就结束了

总结

整个渗透思路的流程是：登录框->密码喷洒->失败->查找源代码，JS->无果->逐级递减目录->发现存在目录遍历->发现存在ckeditor编辑器->尝试历史漏洞->失败->查找到一处搜索框->测试sql注入->不存在注入->尝试目录扫描->扫描出test目录，测试版站点->测试原站点搜索框->发现存在sql注入->放入sqlmap跑->发现存在堆叠注入->利用sqlmap os-shell直接拿下system权限rce 总的来说，站点没什么防护，难度也不大，比较考验思路，比如说爆破进不去又没接口，很多人就直接放弃了，或者发现了目录遍历，在搜索框测了sql注入发现没有也放弃了，只能说还是得多点思考，多点尝试！