記一次有趣的滲透測試

本文作者：Damian所選書籍：《Selenium 2 自動化測試實戰》最近在做滲透測試的練習中遇到一個比較有意思的站點，在此記錄下來，希望能給向我一樣剛入安全圈不久的萌新提供一些基本思路吧。在拿到目標站點的域名時，首要的工作肯定是進行一系列的信息搜集工作，具體搜集哪些信息以及怎麼有效搜集，可以參考 Google 或者百度。下面為了文章的簡潔性，我只提及我會利用到的一些站點信息。首先網站的真實 IP 並沒有隱藏在 CDN 後面，直接在 ThreadBook 上查看同 IP 的旁站，顯示足足 189 個！

看到這個數的時候，說實話內心是沉重的，雖然可以從眾多的旁站入手，來拿到我們目標站的許可權，不過運行了這麼多站點的伺服器，其防護措施，和許可權的管理肯定都是比較安全。

簡單的翻閱了一下網站的大概內容，發現網站更新使用的頻率比較高，這也側面的說明了管理員對網站的重視程度也算比較 ok 的。發現網站的管理後台被隱藏了，一番爆破，Google haking 語法等也沒找到後台目錄。好了，我們直接上漏掃看一下吧，擼主使用的是 AWVS (也可以使用其他的掃描器，如 Appscan，或者其他安全公司的一些漏掃產品等)。經過一波掃描，並沒有發現 SQL 注入或者 XSS 跨站等，不過倒是發現了一個 PHPCGI 的解析漏洞，詳情：http://www.hangge.com/blog/cache/detail_667.html但是如果找不到文件上傳的途徑，那麼這個漏洞也就無法利用了，看來必須得進後台啊

對了我好像不是信安的（賣萌在嘗試使用一個掃描敏感文件的小工具時，發現網站的跟目錄存在這麼一個文件進去後是這樣：

直覺告訴我，這個文件肯定有問題。果不其然，這個小腳本竟然可以遍歷網站所有目錄及相關特徵文件（這不就是後門么。。）這裡解釋一些，這個文件可能是網站管理員上傳到伺服器去檢測 WebShell 後門的（在我發現的前一個星期上傳的），估計忘記刪除了。直接試試快速掃描，發現是一個檢測後門特徵的掃描模式。

直接查看代碼，發現下面兩個文件都是一句話後門，具體代碼如下：

難道這麼輕鬆的就可以拿下了？菜刀連接，發現可以連接，但是執行不了任何命令，（哭因為該 php 文件是被正常解析的，所以可能是系統禁用了某些函數。繼續研究這個文件，嘗試特徵搜索 --> login

查看相關代碼，了解到該網站使用也可以得到網站的管理後台了，這個好像是帝國 CMS 的默認路徑，不知道掃描器為啥沒給直接爆出來。。來到管理後台，發現後台有登錄次數的限制，本菜也沒找到繞過的方法，遂罷。

簡單看了下 Seebug 平台上，也沒有新版本的相關漏洞情況

差點忘了這個「後門」文件了，從搜索結果裡面直接找到資料庫配置文件

由於該 Web 伺服器的 IP 開放了 3306 埠，嘗試使用 Navicat 連接，運氣不錯，直接連上了。

嘗試 Mysql 直接寫入一句話試試，直接執行 SQL 語句select "" into outfile "e:/wwwroot2018/xxx/web/testtest.php"返回[Err] 1045 - Access deniedfor user沒許可權。。查看資料庫表，找到管理員用戶名表，發現密碼經過加密處理過了，沒辦法，想要進後台，只能使用明文的密碼。根據登錄後台定位相關代碼文件，找到加密的函數

mmp，這個加密有點複雜啊直接 copy 該函數，本地環境新建下面 php 文件，測試密碼 admin 的加密輸出

好了，接下來，可以直接在管理員表添加用戶了，並將許可權設置為最高，也就是超級管理員許可權。進入後台

由於網站存在 PHP CGI 的解析漏洞，因此我們只需上傳一個 txt 文件的一句話就可以了，找到附件上傳，成功上傳一句話馬的 txt 文件找到上傳附件模塊，直接上傳一句話，發現被攔截了

直接上傳免殺了一句話木馬文件，成功上傳，截圖如下

然後菜刀直接連接

http://www.xxxx.cn/d/file/p/2018-03-15/c0f6a19e6fc7881e613f6df5a2ef1bbb.txt/1.php

同上面一樣，菜刀可以連接，但是執行不了任何命令重複一下上文的猜測「因為該 php 文件是可以被正常解析的，所以可能是系統禁用了某些執行的函數」這時候想到了各種免殺了 PHP 大馬，掏出上周某大佬給的 PHP 免殺大馬直接上傳成功，（鼓掌

在後面加上 php 的後綴名，成功解析，拿到 Webshell

PS 簡單的看了一下伺服器的目錄上，發現了幾十家網站的源代碼，管理員也太不小心了好吧。。Webshell 已刪本篇文章就到此為止，希望自己以後多多記錄，多多和大家分享。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！