0*00前言
前几天,我一个朋友叫我帮忙测试一下他们公司的网站,本来我是不愿意的,但是无奈被一顿火锅收买了。
0*01信息收集
环境是php+apache
端口扫描
御剑扫一波目录御剑,
发现
robots.txt
后台登陆admin/login.php
数据库后台db_create.php...
坑。点进去全部重定向到首页。
后来想到可能是设置redirect重定向方式。
0*02渗透测试
查找注入点,一般是在资讯新闻,手工简单测试,单引号,双引号,and1=1 和and1=2.明显不行。
点击各模块,猜命名模板
代理为dl资讯为zx会员登陆为user企业为company
模板为首字母缩写和英文近译
那我们找一下登陆后台和数据库管理、文件上传等目录
后台尝试admin、login、ht最后发现adminlogin为后台目录
还顺便发现是zzcms的,挂不得挺熟悉的。到这里基本成功在望。
那就好办了,百度cms解析漏洞,一大堆
1)任意文件上传点
/uploadimg_form.php
确实存在,不过可能设置了session,需要会员权限
那需要管账号密码
2)重置密码
/one/getpassword.php
看来想多了,页面不存在,注册也没有开通。看来文件上传这条路不行
看来站长安全意识还算好,把网络上的解析漏洞都给补了。
3)User/del.phppost注入无效
好吧,我承认我真的把一些大佬的exp全部试过了。
我深吸一口气,重新整理思路
Adminlogin为后台目录
继续猜数据库目录
Phpyaadmin无果,抱着运气试下Phpmyadminlogin哈哈真的是它
尝试万能密码
‘localhost’@'@”登录失败
那应该不是2.11.3/ 2.11.4版本
那就看看弱口令
居然直接root,xxxxx(此处为网站域名)进入,果然多年留下来的习惯还是可以的...
思路1:直接找到后台账号密码,那就可以在登陆后台
思路2:直接在user表找到或添加会员账号
可以利用前面的解析漏洞:任意文件上传配合burpsuite抓包改包传shell。
会员账号密码vested123vested123
登陆会员
这时可以发现/uploadimg_form.php可以上传文件
上传图片马1.gif
抓包
Forword
返回shell
菜刀连接
Whoami直接是adminstrator权限
远程桌面就不继续了,就到这里吧
0*03总结
弱口令,补丁要多点打,虽然过程有些坑,但还是拿下了。我要去吃火锅了!
声明
文章仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明!
看不过瘾?合天2017年度干货精华请点击【精华】2017年度合天网安干货集锦
别忘了投稿哦!
合天智汇公众号原创稿件征集!
大家有好的技术原创文章,
欢迎投稿至邮箱:edu@heetian.com
合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哟。
有才能的你快来投稿吧!
点击了解投稿详情重金悬赏 | 合天原创投稿等你来!
课程推荐时间(via合天网安实验室)
1、渗透信息安全基础
http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041813340900001
2、渗透Web安全基础
http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916022200001
3、渗透综合场景演练
http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916244000001
