記一次有趣的滲透測試
本文作者:Damian所選書籍:《Selenium 2 自動化測試實戰》最近在做滲透測試的練習中遇到一個比較有意思的站點,在此記錄下來,希望能給向我一樣剛入安全圈不久的萌新提供一些基本思路吧。在拿到目標站點的域名時,首要的工作肯定是進行一系列的信息搜集工作,具體搜集哪些信息以及怎麼有效搜集,可以參考 Google 或者百度。下面為了文章的簡潔性,我只提及我會利用到的一些站點信息。首先網站的真實 IP 並沒有隱藏在 CDN 後面,直接在 ThreadBook 上查看同 IP 的旁站,顯示足足 189 個!
看到這個數的時候,說實話內心是沉重的,雖然可以從眾多的旁站入手,來拿到我們目標站的許可權,不過運行了這麼多站點的伺服器,其防護措施,和許可權的管理肯定都是比較安全。
簡單的翻閱了一下網站的大概內容,發現網站更新使用的頻率比較高,這也側面的說明了管理員對網站的重視程度也算比較 ok 的。發現網站的管理後台被隱藏了,一番爆破,Google haking 語法等也沒找到後台目錄。好了,我們直接上漏掃看一下吧,擼主使用的是 AWVS (也可以使用其他的掃描器,如 Appscan,或者其他安全公司的一些漏掃產品等)。經過一波掃描,並沒有發現 SQL 注入或者 XSS 跨站等,不過倒是發現了一個 PHPCGI 的解析漏洞,詳情:http://www.hangge.com/blog/cache/detail_667.html但是如果找不到文件上傳的途徑,那麼這個漏洞也就無法利用了,看來必須得進後台啊
對了我好像不是信安的(賣萌在嘗試使用一個掃描敏感文件的小工具時,發現網站的跟目錄存在這麼一個文件進去後是這樣:
直覺告訴我,這個文件肯定有問題。果不其然,這個小腳本竟然可以遍歷網站所有目錄及相關特徵文件(這不就是後門么。。)這裡解釋一些,這個文件可能是網站管理員上傳到伺服器去檢測 WebShell 後門的(在我發現的前一個星期上傳的),估計忘記刪除了。直接試試快速掃描,發現是一個檢測後門特徵的掃描模式。
直接查看代碼,發現下面兩個文件都是一句話後門,具體代碼如下:
難道這麼輕鬆的就可以拿下了?菜刀連接,發現可以連接,但是執行不了任何命令,(哭因為該 php 文件是被正常解析的,所以可能是系統禁用了某些函數。繼續研究這個文件,嘗試特徵搜索 --> login
查看相關代碼,了解到該網站使用也可以得到網站的管理後台了,這個好像是帝國 CMS 的默認路徑,不知道掃描器為啥沒給直接爆出來。。來到管理後台,發現後台有登錄次數的限制,本菜也沒找到繞過的方法,遂罷。
簡單看了下 Seebug 平台上,也沒有新版本的相關漏洞情況
差點忘了這個「後門」文件了,從搜索結果裡面直接找到資料庫配置文件
由於該 Web 伺服器的 IP 開放了 3306 埠,嘗試使用 Navicat 連接,運氣不錯,直接連上了。
嘗試 Mysql 直接寫入一句話試試,直接執行 SQL 語句select "" into outfile "e:/wwwroot2018/xxx/web/testtest.php"返回[Err] 1045 - Access deniedfor user沒許可權。。查看資料庫表,找到管理員用戶名表,發現密碼經過加密處理過了,沒辦法,想要進後台,只能使用明文的密碼。根據登錄後台定位相關代碼文件,找到加密的函數
mmp,這個加密有點複雜啊直接 copy 該函數,本地環境新建下面 php 文件,測試密碼 admin 的加密輸出
好了,接下來,可以直接在管理員表添加用戶了,並將許可權設置為最高,也就是超級管理員許可權。進入後台
由於網站存在 PHP CGI 的解析漏洞,因此我們只需上傳一個 txt 文件的一句話就可以了,找到附件上傳,成功上傳一句話馬的 txt 文件找到上傳附件模塊,直接上傳一句話,發現被攔截了
直接上傳免殺了一句話木馬文件,成功上傳,截圖如下
然後菜刀直接連接
http://www.xxxx.cn/d/file/p/2018-03-15/c0f6a19e6fc7881e613f6df5a2ef1bbb.txt/1.php
同上面一樣,菜刀可以連接,但是執行不了任何命令重複一下上文的猜測「因為該 php 文件是可以被正常解析的,所以可能是系統禁用了某些執行的函數」這時候想到了各種免殺了 PHP 大馬,掏出上周某大佬給的 PHP 免殺大馬直接上傳成功,(鼓掌
在後面加上 php 的後綴名,成功解析,拿到 Webshell
PS 簡單的看了一下伺服器的目錄上,發現了幾十家網站的源代碼,管理員也太不小心了好吧。。Webshell 已刪本篇文章就到此為止,希望自己以後多多記錄,多多和大家分享。
※其實沒有人知道你沒有那麼堅強
※沒錯!中國第一顆私人衛星就誕生在這裡
TAG:全球大搜羅 |