本次渗透的主要流程为：通过越权漏洞，得到高权限的账号，复用cookie后登录到后台，利用SSRF配合文件上传成功getshell；登录主机后，逆向dll和exe文件，从中发现提权的重要信息，最后通过dll劫持成功完成提权。整个渗透过程曲折但充满惊喜，下面开始此次渗透之旅。

一、信息收集

nmap -sC -sV -sT -T4 -Pn 10.10.11.238

常规目录扫描后，并没有特别发现，于是在做一波子域名收集，发现一个子网站。

打开主网站看看，是一个病人挂号系统。

子网站是一个医生登录系统；

下面开始进行漏洞挖掘。

二、漏洞挖掘

越权访问

在主站上注册登录后如下；

翻了各项功能，都没有发现可利用的点，返回去细细看抓包的结果，有新的发现；

可以看到POST包里面有个Acctype参数是=1的，将它修改成2，然后发包，

发现是doctor身份；

但经过测试这里并没有更多有用的功能。

联想到刚才的医生登录系统，看看能不能cookie登录。

先抓取到主站身份是医生的cookie；

然后直接访问子站医生登录系统，修改cookie为我们主站抓取到的cookie；

果然登录成功了。

因为后续要持续修改cookie，这里介绍个火狐浏览器的小工具，使用方便。

到这里就通过越权访问漏洞成功登入了医生的后台。

SSRF结合上传实现getshell

成功的进入后台，左边的选项栏里，Issue Prescriptions的选项里面有个url的表单，写进去本机ip，会读取内容。