实战|记一次从文件备份泄露到主机上线

前言记录下某个测试项目中，通过一个文件备份泄露到主机上线的过程。文件备份泄露对于测试的第一项当然是弱口令，bp跑了一通词典，无果。目录又爆破了一通，发现一个web.rar可通，赶紧下载看看，如下图所示。代码审计解压瞅了瞅，源代码为ASP.NET框架的，这个真不懂，只能先用Fortify快速扫描一番，此处略过。配置文件+未授权访问扫描之后，看了下报告排除了误报，发现某个xml配置文件包含了很多信息，比如数据库账号密码，微信AppId等等。习惯性将路径拼接一下访问一下url，好家伙，未授权。默认账户密码同时注意到了配置文件中还有一行定义了默认登录账户和密码哈希。于是在cmd5对此哈希进行解密，并成功获取账号明文密码。返回到登录界面，输入了刚才账户和解密的密码之后，果不其然，等登录验证成功之后跳转了系统内部。储存型X ………………………………