意外拿下清华北大

Delina

原文链接：意外拿下清华北大
1 前言


主站如下：
​



02

渗透过程
1 信息收集

    拿到主站，老思路，一顿狂扫，没啥好说的，我直接把图贴下面
​

​
​
​
    100多个域名，我直呼好家伙
---------------我是分割线----------------------------------------
​
    看了一手源代码，老朋友了，wp的框架的，直接wp-admin一手,无权限，牛的，扫了一下目录，大部分配置文件都拒绝访问，唯一一个能访问的就是wp-json，不过刷完了屁用都没有，直接上了wpscan
​
​
​
    筛选了一大堆，不能用的例如后台任意密码重置，留言区xss等，都用不了，然后能用的伤害性都不大，要么就是没有复现的教程，所以主站这方面我就放弃了（事实上我跟主站死磕了半个月，像个沙口一样）





2 子域名
    主站不行还有一大堆子域名，俗话说得好，世上无难事，只要肯放弃，放弃主站直接打子域名
    筛选了将近10多个子域名，挑了个软柿子
​
    这界面，这文章，像不像几年前漏洞百出的网站，就搞他了
    这命名，这路径，我怎么感觉已经被大神干碎了
​
    既然这文件命名是这样的，那这个网站必存在上传点，没有上传点我吃屎好吧
​
    可以看到这有一个在线投稿，这里面估计有附件，点进去看看
​
  ---------------------------我是分割线-------------------------------
    先上传一个1.php试试
​
    有狗！不过还好，这个比较好绕过，直接利用00截断上传
​
    文件名 zac.php%00.zip，不知道原理的大伙自行百度，这个绕过方法很常见了，不在赘述，上传成功
​
    不过这里我要说一句，我在学校上传的时候，第二天就死活上不去，直到周末回家再次上传，发现又可以了，所以管理员估计设置的是根据ip封禁（也有可能安全狗自动封的，但我没用过防护类的，改天学一下）
    上传之后，找路径就格外的困难
    我先直接url/zac.php试了试，发现报错并返回了绝对路径
​
​
    又看了一下burp的回显路径
    利用御剑等工具，疯狂的扫，然后这么搞了三天（学校管得严，每天就一个小时能用电脑）发现不行，要么就是后端重命名，要么就是我是nt，所以休息了一天
    整理思路发现，上传的稿件应该会发布在新闻列表中，那么我直接查新闻稿子的路径是不是就是可以了？
    然后发现了upfile.cuepa.cn
​

     后来经过部分手段，成功上传shell，并且自带回显
​

    拿到路径咋办？连啊！
    直接拿蚁剑一连，成功拿到shell
​
    然后就是查询里面都有些啥，好巧不巧，清华北大也在其中，直接顺手一提交（你看，我说了标题是事实吧）
​
    很可惜，就提交了三个，本来还能再刷点漏洞的，谁知道他修的实在太快了