声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!
声明:本次演练中,所有测试设备均由主办方提供,所有流量均有留档可审计,所有操作均在授权下完成,所有数据在结束后均已安全销毁。

0x01前言

本次目标是一个医院系统,主要做一下记录。(有些图片不能发,有的忘记截图了emmmm 。

0x02爆破

开局一个登录框
发现没验证码,没次数限制
先爆破,然后得到一个用户名system。
开始我的top10000、top100000,但是没有任何结果 最终决定放弃。

0x03巧了

这是一个医院的系统还有着具体名字,然后标签上还有图标于是想着能不能去找上游,通过开发公司是不是可以找到点什么。于是通过名字和图表搜索到了具体公司,然后通过资产收集工具找到同样的系统。猜测是开发商用来做测试,或者给客户演示的。
再次爆破system用户成功登陆系统。因为是一样的系统甚至名称都是相同的,所以里面有一些测试数据以及用户,然后通过这边的用户名去跑目标系统发现这些用户名都是真实存在的,于是设置密码123456,来撞用户名,终于有几个用户可以成功登陆。

0x04上传

成功登陆系统后直接奔着头像处就去了,发现没有显示路径且无法正常打开,正常图片可以显示,asp后缀无法显示,但是根据返回包可以确定穿上去了。(这里没有截图,只能发挥想象力 右键加载图像显示格式为"?img=.png" 或者"?img=.asp" 。
因为该用户权限过低只能回到开发商测试系统上继续找找看看是否有什么突破。

0x05越权

在查询里发现存在病人信息查询。
数据大概为几千条。在目标系统中由于用户权限过低,没有该功能,于是测试发现存在越权,可以获取病人信息大概五万多条

0x06ueditor

系统功能实在是太多,一个个翻到底最后在一个很隐蔽的功能出发现存在ueditor编辑器,于是乎赶紧测试是否存在上传漏洞,于是一发入魂。

心想这不轻松拿捏
于是赶紧转到目标环境,再来一发。
心里苦

0x07沉淀

测试环境可以搞定 目标环境可以上传asp但是无法找到路径,那咱去测试环境找路径不就搞定了。
已知:1⃣️、头像可以上传asp文件。2⃣️、文件名为system.asp。3⃣️、有shell。解:直接上web目录搜索
好消息:找到了 坏消息:在C盘
搞不了一点

0x08撤退

忙活半天搞了点数据分~。~
往期推荐
敏感信息泄露
潮影在线免杀平台上线了
自动化渗透测试工具开发实践
【红蓝对抗】利用CS进行内网横向
一个Go版(更强大)的TideFinger
SRC资产导航监测平台Tsrc上线了
新潮信息-Tide安全团队2022年度总结
记一次实战攻防(打点-Edr-内网-横向-Vcenter)
E
N
D
知识星球产品及服务
团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......
星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享
星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......
星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......
扫码加入一起学习吧~
继续阅读
阅读原文
关键词
漏洞
系统
内网
星球
物联网