南方数据靶机渗透测试

0x01 信息收集

网站是南方数据的镜像站,随便点开一个新闻,出现了熟悉的?id=xxxx格式,进行分别用 ‘,and 1=1 ,and 1=2 进行了测试,发现存在sql注入漏洞。从电脑中掏出了sqlmap,就在这时,表哥要求手注,结果试了半天也没有成果,百度了一下“南方数据 漏洞”,发现有0day。

0x02 进入后台

1
2
NewsType.asp?SmallClass='%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20
union%20select%20*%20from%20news%20where%201=2%20and%20''='

直接利用
1.jpg
解出得到的md5值为admin888,通过之前的搜索得知,默认后台为/admin/
登陆后台
2.jpg

上传木马

发现有一个添加视频和一个添加下载程序两个上传口,并返回给你文件的路径,但只能上传gif|jpg|bmp|png|swf|doc|rar|php这几个格式。
查看网页配置,发现有允许上传的文件类型一项
3.jpg
在最后加上asp,保存,却还是不能上传asp。
最后在系统管理里发现了数据库备份
4.jpg
5.jpg
成功传入大马并执行cmd成功
6jpg
但是现在的账户在Administrator组中,但却没有权限,想要进一步搞事还需要提权。

未完待续。