记一次从逻辑漏洞到内网一日游

2020-02-23 14:04:26 64 the3ight 6030

之前无意间发现的一个漏洞

今日份主角大概长这样，一通弱口令之后无果，点登陆之后看到有找回密码

本来想先试试admin看他回显如何，然后就

What？啥玩意？我验证问题都还没打呢，就直接重置了？并且右上角已经是"管理员"了？
前台登上，那来找找后台，发现后台也成功登陆

在后台翻了良久找到一处任意文件上传，可算是Getshell了

Shell了之后来提权，cmd正常执行，不过权限较低，aspx先试试Mssql，找到数据库连接串

User ID=SPM;Password=*****"

这里提一下，因为之前拿的这个很多系统spm用户与sa密码相同，然后这次。

可以，我不信提不下你，又是一通操作。

拿下之后利用LCX进行转发进而登录服务器
顺便查看内网存活主机

for /l  %i  in (1,1,255) do @  ping  192.168.0.%i  -w  1  -n  1 |  find  /i  "ttl="

本身自己搞的对内网兴趣不大，想着读读密码批量爆破试试得了，结果管理员上次登录已经是2016年了我丢

后来Mssql批量扫了一下，出来两台拿下一台，好像还是管理工资的

到这之后就没再往下去了。

自评TCV 1

类别渗透测试

关于作者

the3ight6篇文章80篇回复

<div class="location"> 您当前的位置：<a href="../Default.aspx">首页</a> > <span>找回密码</span> </div> <div class="forget"> <div class="user_location"> 找回密码 </div> <table id="userModify" cellpadding="3" cellspacing="3" border="0"> <tr> <td> 用户名称： </td> <td> <input type="text" id="txtUserName" class="box" onblur="showQue()" /> </td> </tr> <tr> <td> 密码问题： </td> <td> <input type="text" id="txtques" class="box" /> </td> </tr> <tr> <td> 密码答案： </td> <td> <div class="left"> <input type="text" id="txtans" class="box" onblur="checkQue('txtans')" onfocus="show()" /> </div> <font style="display: block; float: left; margin-left: 10px; color: #333333; font-size: 12px; height: 24px; border: 1px #FFFFFF solid" id="divtxtans"><font style="color: red">*</font>密码找回使用的答案，3-22个字符。</font> </td> </tr> <tr> <td>   </td> <td> <div class="left btnLogin" onclick="btnSetClick()"> 确定 </div> </td> </tr> <tr> <td colspan="2"> <span id="tip" class="left"></span> </td> </tr> </table> </div> <script type="text/javascript"> $(window).keydown(function (event) { if (event.keyCode.toString() == "13") { checkQue('txtans'); $(".btnLogin").click(); } }) function btnSetClick() { var username = $.trim($("#txtUserName").val()); //alert(username); if (username != "") { var url = "../../../Content/Request.aspx?action=findPwd"; $.post(url, { username: username, userques: $.trim($("#txtques").val()), userans: $.trim($("#txtans").val()) }, function (data) { //alert(data); var obj = $.parseJSON(data); if (obj.err != undefined) { alert(obj.err); $("#tip").html(obj.err); } else { if (!parent.isloginexitreloadpage) { parent.logincallback(data); } else { parent.logincallback(data); //parent.location.href = parent.location.href; } var str = "重置成功！你的新密码是：" + obj.passwordField.toString() + " ，请记牢或自行更改！" $("#tip").html(str); } } ); } } function show() { $("#divuserans").css("border-color", "#64b8dc"); $("#divuserans").css("color", "#333333"); $("#divuserans").html("密码找回使用的答案，3-22 个字符。"); } //判断特殊字符 function checkStr(str) { var reg = /[`~!@#\$%\^\&\*_\+<>\?:"\{\},\.\\\/;'\[\]]/im; //var reg = /[~`!@#%&=:;<>\$\^\*\+\{\}\[\]\|\\　\"\'\?\,\.\/\s]+/gi; return reg.test(str); } //字符串长度（字节） function getStrLen(str) { var reg = /[^\x00-\xff]/g; return str.replace(reg, "xx").length; } function checkQue(id) { var s = $("#" + id).val(); var ids = "div" + id; if (checkStr(s) == true || getStrLen(s) > 22 || getStrLen(s) < 3) { $("#" + ids).css("color", "red"); $("#" + ids).css("border-color", "#ffffff"); document.getElementById(ids).innerHTML = "<img src=\"../Content/err.gif\" style=\"margin-top:5px;\">   请在3-22 个字符内,不能含有非法字符。"; return false; ; } else { $("#" + ids).css("color", ""); $("#" + ids).css("border-color", "#ffffff"); document.getElementById(ids).innerHTML = "<img src=\"../Content/right.gif\" style=\"margin-top:5px;\">"; return true; } } function showQue() { var username = $.trim($("#txtUserName").val()); if (username != "") { var url = "../../../Content/Request.aspx?action=user_ques"; $.post(url, { username: username }, function (data) { var obj = $.parseJSON(data); if (obj.err != "") { alert(obj.err); return; } else { $("#txtques").val(obj.qus.toString()); return; } } ); } }

评论64次

要评论？请先登录或注册

TOP1

Jokong
2020-2-24 00:12

这运气也太好了吧

回复|@ta|踩(0)|顶(1)
44楼

Anonymous
2020-2-25 16:45

这个运气也太好了吧，不过最感兴趣的就是那个scansql

回复|@ta|踩(0)|顶(0)
43楼

Blackpowder
2020-2-25 16:19

这哪能叫逻辑漏洞，绝了，直接我家大门敞大开

回复|@ta|踩(0)|顶(0)
42楼

Aaron0909
2020-2-25 15:18

这年头还能碰到这奇葩的网站，真实不容易。

回复|@ta|踩(0)|顶(0)
41楼

imanfeng
2020-2-25 11:07

最后用什么方法提的

回复|@ta|踩(0)|顶(0)
40楼

dm-xy
2020-2-25 10:59

这也太好运气了吧只能说牛皮

回复|@ta|踩(0)|顶(0)
39楼

毅心毅意
2020-2-24 22:25

管理员狗不理了，基本这xi统也就费了，其他的漏洞一堆堆

回复|@ta|踩(0)|顶(0)
38楼

demochen
2020-2-24 18:32

谁能源代码漏洞在哪怎么就直接重置了

回复|@ta|踩(0)|顶(0)
37楼

the3ight
2020-2-24 17:31

初学者：
直接重置密码那里我蒙了
回复|@ta
1

哈哈我当时都蒙了，

回复|@ta|踩(0)|顶(0)
36楼

the3ight
2020-2-24 17:31

littleheary：
16-032就可以成功了？很溜啊，这个怕是没有杀软吧？
回复|@ta
1

啥玩意都没，按在地上c那种

回复|@ta|踩(0)|顶(0)
35楼

the3ight
2020-2-24 17:30

上善若水：
运气好到爆炸.. 拿shell和提权爽到开挂然后内网也是6到起飞我想你肯定是不会本机在公网然后直接本机操的,,, (废话还是多跳下比较好吧有点真废话了哈哈哈)
回复|@ta
1

可能一顿流程下来看着挺简单，其实当时我找传shell的地方找的头蒙，哈哈

回复|@ta|踩(0)|顶(0)
34楼

初学者
2020-2-24 17:29

直接重置密码那里我蒙了

回复|@ta|踩(0)|顶(0)

33楼

the3ight

2020-2-24 17:28

heihu577：

想看一下源代码的漏洞造成原因，楼主方便把源代码附上吗。

回复|@ta

  <div class="location">         您当前的位置：<a href="../Default.aspx">首页</a> &gt; <span>找回密码</span>     </div>     <div class="forget">         <div class="user_location">             找回密码         </div>         <table id="userModify" cellpadding="3" cellspacing="3" border="0">             <tr>                 <td>                     用户名称：                 </td>                 <td>                     <input type="text" id="txtUserName" class="box" onblur="showQue()" />                 </td>             </tr>             <tr>                 <td>                     密码问题：                 </td>                 <td>                     <input type="text" id="txtques" class="box" />                 </td>             </tr>             <tr>                 <td>                     密码答案：                 </td>                 <td>                     <div class="left">                         <input type="text" id="txtans" class="box" onblur="checkQue('txtans')" onfocus="show()" />                     </div>                     <font style="display: block; float: left; margin-left: 10px; color: #333333; font-size: 12px;                         height: 24px; border: 1px #FFFFFF solid" id="divtxtans"><font style="color: red">*</font>密码找回使用的答案，3-22个字符。</font>                 </td>             </tr>             <tr>                 <td>                     &nbsp;                 </td>                 <td>                     <div class="left btnLogin" onclick="btnSetClick()">                         确定                     </div>                 </td>             </tr>             <tr>                 <td colspan="2">                     <span id="tip" class="left"></span>                 </td>             </tr>         </table>     </div>     <script type="text/javascript">         $(window).keydown(function (event) {             if (event.keyCode.toString() == "13") {                 checkQue('txtans');                 $(".btnLogin").click();             }         })         function btnSetClick() {             var username = $.trim($("#txtUserName").val());             //alert(username);             if (username != "") {                 var url = "../../../Content/Request.aspx?action=findPwd";                 $.post(url, {                     username: username,                     userques: $.trim($("#txtques").val()),                     userans: $.trim($("#txtans").val())                 }, function (data) {                     //alert(data);                     var obj = $.parseJSON(data);                     if (obj.err != undefined) {                         alert(obj.err);                         $("#tip").html(obj.err);                     }                     else {                         if (!parent.isloginexitreloadpage) {                             parent.logincallback(data);                         }                         else {                             parent.logincallback(data);                             //parent.location.href = parent.location.href;                         }                         var str = "重置成功！你的新密码是：" + obj.passwordField.toString() + " ，请记牢或自行更改！"                         $("#tip").html(str);                     }                 }             );             }         }         function show() {             $("#divuserans").css("border-color", "#64b8dc");             $("#divuserans").css("color", "#333333");             $("#divuserans").html("密码找回使用的答案，3-22 个字符。");         }         //判断特殊字符         function checkStr(str) {             var reg = /[`~!@#\$%\^\&\*\(\)_\+<>\?:"\{\},\.\\\/;'\[\]]/im;             //var reg = /[~`!@#%&=:;<>\$\^\*\(\)\+\{\}\[\]\|\\　\"\'\?\,\.\/\s]+/gi;             return reg.test(str);         }         //字符串长度（字节）         function getStrLen(str) {             var reg = /[^\x00-\xff]/g;             return str.replace(reg, "xx").length;         }         function checkQue(id) {             var s = $("#" + id).val();             var ids = "div" + id;              if (checkStr(s) == true || getStrLen(s) > 22 || getStrLen(s) < 3) {                 $("#" + ids).css("color", "red");                 $("#" + ids).css("border-color", "#ffffff");                 document.getElementById(ids).innerHTML = "<img src=\"../Content/err.gif\" style=\"margin-top:5px;\">&nbsp;&nbsp;&nbsp;请在3-22 个字符内,不能含有非法字符。";                 return false; ;             }             else {                 $("#" + ids).css("color", "");                 $("#" + ids).css("border-color", "#ffffff");                 document.getElementById(ids).innerHTML = "<img src=\"../Content/right.gif\" style=\"margin-top:5px;\">";                 return true;             }         }         function showQue() {             var username = $.trim($("#txtUserName").val());             if (username != "") {                 var url = "../../../Content/Request.aspx?action=user_ques";                 $.post(url, {                     username: username                 }, function (data) {                     var obj = $.parseJSON(data);                     if (obj.err != "") {                         alert(obj.err);                         return;                     }                     else {                         $("#txtques").val(obj.qus.toString());                         return;                     }                 }             );             }         }

我也有点想搞懂咋回事，奈何不懂审计

回复|@ta|踩(0)|顶(0)

32楼

k1nm0
2020-2-24 16:22

上次我遇到一个更邪门的逻辑漏洞，只需知道id号就可以免登录上后台。。。。前台的验证根本不管用

回复|@ta|踩(0)|顶(0)
31楼

laofan
2020-2-24 15:14

这程序员无敌了，，，，醉了

回复|@ta|踩(0)|顶(0)
30楼

Free雅轩
2020-2-24 12:36

@maliya 楼主那个scansql和mssqltools2. 0可以分享下吗

回复|@ta|踩(0)|顶(0)
29楼

Ezrea1
2020-2-24 12:01

感觉信息收集不到位啊

回复|@ta|踩(0)|顶(0)
28楼

mutexrd6
2020-2-24 11:12

这密码重置功能，大写的服

回复|@ta|踩(0)|顶(0)
27楼

safestPlace
2020-2-24 09:34

运维工程师：这特么谁写的代码

回复|@ta|踩(0)|顶(0)
26楼

qglfnt
2020-2-24 00:36

hsacn扫也可以吧。。

回复|@ta|踩(0)|顶(0)
25楼

Jokong
2020-2-24 00:12

这运气也太好了吧

回复|@ta|踩(0)|顶(1)

记一次从逻辑漏洞到内网一日游

关于作者

评论64次

这运气也太好了吧

这个运气也太好了吧，不过最感兴趣的就是那个scansql

这哪能叫逻辑漏洞，绝了，直接我家大门敞大开

这年头还能碰到这奇葩的网站，真实不容易。

最后用什么方法提的

这也太好运气了吧 只能说牛皮

管理员狗不理了，基本这xi统也就费了，其他的漏洞一堆堆

谁能源代码漏洞在哪 怎么就直接重置了

直接重置密码那里 我蒙了

哈哈 我当时都蒙了，

16-032就可以成功了？很溜啊，这个怕是没有杀软吧？

啥玩意都没，按在地上c那种

运气好到爆炸.. 拿shell和提权爽到开挂 然后内网也是6到起飞 我想你肯定是不会本机在公网然后直接本机操的,,, (废话 还是多跳下比较好吧 有点真废话了 哈哈哈)

可能一顿流程下来看着挺简单，其实当时我找传shell的地方找的头蒙，哈哈

直接重置密码那里 我蒙了

想看一下源代码的漏洞造成原因，楼主方便把源代码附上吗。

上次我遇到一个更邪门的逻辑漏洞，只需知道id号就可以免登录上后台。。。。前台的验证根本不管用

这程序员无敌了，，，，醉了

@maliya 楼主那个scansql和mssqltools2. 0可以分享下吗

感觉信息收集不到位啊

这密码重置功能，大写的服

运维工程师：这特么谁写的代码

hsacn扫也可以吧。。

这运气也太好了吧

热门文章

社会工程【喜庆2025征文】社会工程学之传承FancyPig

安全资讯美国财政部因黑客指控对中国公司“Integrity Technology”实施制裁

渗透测试【喜庆2025征文】一个Clickfix钓鱼网址行为分析

最新回复

精华推荐

渗透测试Web中间件常见漏洞总结

渗透测试Bypass 360主机卫士SQL注入防御（多姿势）

渗透测试【Frida实战】某iOS APP逆向加密解密（含MitmProxy自动加密解密）

渗透测试命令行上传文件到SkyDrive的研究

渗透测试【开源】HTTPDecrypt for Android Penetration Test

这也太好运气了吧只能说牛皮

谁能源代码漏洞在哪怎么就直接重置了

直接重置密码那里我蒙了

哈哈我当时都蒙了，

运气好到爆炸.. 拿shell和提权爽到开挂然后内网也是6到起飞我想你肯定是不会本机在公网然后直接本机操的,,, (废话还是多跳下比较好吧有点真废话了哈哈哈)

直接重置密码那里我蒙了