首先看到了管理平台:
通过信息收集,猜解出了北京联合大学应用文理学院的账号和密码
顺利登陆:
访问组织机构上传URL:
经过测试,首先会对文件内容进行过滤控制,然后控制扩展名规则
逻辑简洁如下,拿asp来举例:
片段1:
片段2:
可以看到
风险控制规则如果匹配了图片的特征,则不判断后缀直接进行上传,否则进行后缀的过滤
图片展示:
首先直接复制了一个一句话webshell,改名为qq.asp,上传失败
于是合成了一个图片的webshell用做测试,后缀依然为asp,可以看到上传成功:
shell的地址:
密码pass
方便审核管理员复现
找到数据库敏感信息:
连接数据库,可以获得所有的manager信息
部分使用该平台的单位和高校:
可控制全国任意旗下政府机关、高校、企业等短信收发
发给自己短信测试:
在平台也可以自定义添加自己的号码数据库,自定义短信条数和数额,来免费发送短信给他人
另外该数据库和校园一卡通绑定,危害很大,并有金钱漏洞可钻
202.108.49.1/24 段均为联通IP段,可进一步内网测试,这里不带有目的的测试,故不继续进行。
首先看到了管理平台:
通过信息收集,猜解出了北京联合大学应用文理学院的账号和密码
顺利登陆:
访问组织机构上传URL:
经过测试,首先会对文件内容进行过滤控制,然后控制扩展名规则
逻辑简洁如下,拿asp来举例:
片段1:
片段2:
可以看到
风险控制规则如果匹配了图片的特征,则不判断后缀直接进行上传,否则进行后缀的过滤
图片展示:
首先直接复制了一个一句话webshell,改名为qq.asp,上传失败
于是合成了一个图片的webshell用做测试,后缀依然为asp,可以看到上传成功:
shell的地址:
http://202.108.49.130/xppic/yywlpic.asp 密码pass
方便审核管理员复现
找到数据库敏感信息:
CONNSTRQ="Driver={SQL Server};Server=202.108.49.131,15002;Database=dxlt;Uid=webuser;Pwd=qaz*()p[]9083;"
CONNSTR="Driver={SQL Server};Server=202.108.49.131,15002;Database=SunTechRun;Uid=webuser;Pwd=qaz*()p[]9083;"
CONNSTR2="Driver={SQL Server};Server=202.108.49.131,15002;Database=SunTechHis;Uid=webuser;Pwd=qaz*()p[]9083;"
连接数据库,可以获得所有的manager信息
部分使用该平台的单位和高校:
可控制全国任意旗下政府机关、高校、企业等短信收发
发给自己短信测试:
在平台也可以自定义添加自己的号码数据库,自定义短信条数和数额,来免费发送短信给他人
另外该数据库和校园一卡通绑定,危害很大,并有金钱漏洞可钻
202.108.49.1/24 段均为联通IP段,可进一步内网测试,这里不带有目的的测试,故不继续进行。