本文作者:Damian
所選書籍:《Selenium 2自動化測試實戰》
活動地址:陽春三月免費贈書啦
最近在做滲透測試的練習中遇到一個比較有意思的網站,在此記錄下來,希望能給向我一樣剛入安全圈不久的萌新提供一些基本思路吧。
在拿到目標網站的功能變數名稱時,首要的工作肯定是進行一系列的資訊蒐集工作,具體蒐集哪些資訊以及怎麼有效蒐集,可以參考Google或者百度。
下麵為了文章的簡潔性,我只提及我會利用到的一些網站資訊。
首先網站的真實IP並沒有隱藏在CDN後面,直接在ThreadBook上查看同IP的旁站,顯示足足189個!
看到這個數的時候,說實話內心是沉重的,雖然可以從眾多的旁站入手,來拿到我們目標站的許可權,不過運行了這麼多網站的服務器,其防護措施,和許可權的管理肯定都是比較安全。
簡單的翻閱了一下網站的大概內容,發現網站更新使用的頻率比較高,這也側面的說明了管理員對網站的重視程度也算比較ok的。
發現網站的管理後臺被隱藏了,一番爆破,Google haking語法等也沒找到後臺目錄。
好了,我們直接上漏掃看一下吧,擼主使用的是AWVS(也可以使用其他的掃描器,如Appscan,或者其他安全公司的一些漏掃產品等)。
經過一波掃描,並沒有發現SQL注入或者XSS跨站等,不過倒是發現了一個PHPCGI的解析漏洞,詳情:
http://www.hangge.com/blog/cache/detail_667.html
但是如果找不到文件上傳的途徑,那麼這個漏洞也就無法利用了,看來必須得進後臺啊
對了我好像不是信安的(賣萌
在嘗試使用一個掃描敏感檔案的小工具時,發現網站的跟目錄存在這麼一個檔案/1.php
/1.php
進去後是這樣:
直覺告訴我,這個檔肯定有問題。
果不其然,這個小腳本竟然可以遍歷網站所有目錄及相關特徵檔案(這不就是後門麼。。)
這裡解釋一些,這個檔可能是網站管理員上傳到服務器去檢測WebShell後門的(在我發現的前一個星期上傳的),估計忘記删除了。
直接試試快速掃描,發現是一個檢測後門特徵的掃描模式。
直接查看程式碼,發現下麵兩個檔案都是一句話後門,
具體代碼如下:
難道這麼輕鬆的就可以拿下了?
菜刀連接,發現可以連接,但是執行不了任何命令,(哭
因為該php檔案是被正常解析的,所以可能是系統禁用了某些函數。
繼續研究/1.php這個檔,嘗試特徵蒐索--> login
/1.php
查看相關程式碼,瞭解到該網站使用EmpireCMS
EmpireCMS
也可以得到網站的管理後臺了,這個好像是帝國CMS的默認路徑,不知道掃描器為啥沒給直接爆出來。。
來到管理後臺,發現後臺有登錄次數的限制,本菜也沒找到繞過的方法,遂罷。
簡單看了下Seebug平臺上,也沒有新版本的相關漏洞情况
差點忘了1.php這個“後門”檔案了,從搜索結果裡面直接找到資料庫設定檔
1.php
由於該Web服務器的IP開放了3306埠,嘗試使用Navicat連接,運氣不錯,直接連上了。
嘗試Mysql直接寫入一句話試試,直接執行SQL語句
select '<?php eval($_post[‘shell’]);?>' into outfile 'e:/wwwroot2018/xxx/web/testtest.php'
返回
[Err] 1045 - Access deniedfor user
沒許可權。。
查看資料庫錶,找到管理員用戶名錶,發現密碼經過加密處理過了,
沒辦法,想要進後臺,只能使用明文的密碼。
根據登入後臺定位相關程式碼檔案,找到加密的函數
mmp,這個加密有點複雜啊
直接copy該函數,本地環境新建下麵php檔案,測試密碼admin的加密輸出
好了,接下來,可以直接在管理員錶添加用戶了,並將許可權設定為最高,也就是超級管理員許可權。
進入後臺
由於網站存在PHP CGI的解析漏洞,囙此我們只需上傳一個txt檔案的一句話就可以了,找到附件上傳,成功上傳一句話馬的txt檔案
找到上傳附件模塊,直接上傳一句話,發現被攔截了
直接上傳免殺了一句話木馬檔案,成功上傳,截圖如下
然後菜刀直接連接
http://www.xxxx.cn/d/file/p/2018-03-15/c0f6a19e6fc7881e613f6df5a2ef1bbb.txt/1.php
同上面一樣,菜刀可以連接,但是執行不了任何命令
重複一下上文的猜測“因為該php檔案是可以被正常解析的,所以可能是系統禁用了某些執行的函數”
這時候想到了各種免殺了PHP大馬,掏出上周某大佬給的PHP免殺大馬
直接上傳成功,(鼓掌
在後面加上php的后綴名,成功解析,拿到Webshell
PS簡單的看了一下服務器的目錄上,發現了幾十家網站的原始程式碼,管理員也太不小心了好吧。。Webshell已删
本篇文章就到此為止,希望自己以後多多記錄,多多和大家分享。