從學校某公眾號知悉現在可以直接從外網訪問校內的幾個Web系統。
通過分析,發現只是把幾大內網系統通過內網穿透映射到了外網一台服務器的不同端口上,所以我決定從這台外網服務器開始下手。
直接訪問域名,發現一個WordPress博客,訪問WordPress的默認后台地址,進入后台登錄網頁。測試下admin帳戶和admin密碼,提示“ 無效用戶名 ”(這里吐槽下WordPress的登錄失敗提示功能,一個合格的登錄系統不應該暴露帳戶是否存在,容易被人暴力破解),說明后台沒有帳戶名為 admin 的賬號。
這時我想起自己以前搭建WP博客時用的用戶名是一個郵箱,會不會他也是用郵箱登錄?
思路一轉,馬上查詢這個域名的Whois信息,域名注冊人和注冊郵箱信息一覽無余,用注冊域名的郵箱去WP后台登錄,果然,登錄失敗的提示變了。
說明此帳戶確實存在,接下來爆破密碼。根據域名注冊人的姓名,我構造了一個簡單的組合弱口令,居然成功進去,連字典都沒用上。
WordPress的后台防御很弱,利用插件上傳功能,我們可以直接上傳木馬,這里我寫了一個接收POST請求的PHP一句話木馬上傳到服務器。(之所以不是GET類型木馬,是因為中國蟻劍只支持POST類型的木馬)
上傳成功后就可以直接訪問大馬了,根據上傳時間的年月可以知道木馬所在路徑為:
http://www.xxx.com/wp-content/uploads/2019/09/wp_tmp.php
(這里又得吐槽下WP的文件上傳功能,一個合格的文件上傳功能應該在文件上傳后對其進行隨機重命名,避免黑客訪問到木馬)
接着用中國蟻劍連接shell,成功getshell。
進虛擬終端逛下,發現很多有趣的東西,內核版本為Linux 3.10.0,還可以進一步利用臟牛漏洞進行提權,不過筆者決定到此為止。
最后建立一個象征性的目錄,幫他刪掉木馬,走人。