背景:
客戶收到釣魚短信,打開之后發現是一個上傳身份證的應用,以下步驟是對該網站的一次測試。
起手
先到處點了下,身份證是上傳到OSS的,功能比較單一,pass。跑一下子域名看看
搜集信息
上lijiejie的subDomainsBrute,然后跑了幾個子域名,發現其中一個子域名比較有意思: admin1.example.com。打開一看,左邊一個大大的測試環境,是一個登錄管理的頁面,隨手測了弱密碼: admin/admin1234登錄成功。
任意文件讀取
在后台發現可以編輯上傳圖片,有一個接口是讀取圖片的,此處存在任意文件讀取漏洞:
先緩一下,用掃描器掃一掃這個IP都運行了什么鬼:
此時有點懵,不知道從那個地方入手讀文件,這么多http服務。先讀了/root/.bash_history 和/etc/shadow都可以成功,shadow先放着不動,最后日不動再回來看,讀完/root/.bash_history就會對這個系統有一個大概的認識。
GetShell
尋思了下8888端口跑的是某塔,顯示不是安全入口。搜了下,這個面板為了安全把安全入口隱藏了,安全入口的路徑是:/www/server/panel/data/admin_path.pl, 然后利用任意文件讀取漏洞讀一下,獲取該路徑,此時有了登錄入口。
從github下載源代碼,看了下密碼存儲是以md5的形勢放在SQLite里面: /www/server/panel/data/default.db,讀一下然后save to file保存到本地,用naticat讀取數據庫,得到登錄的賬號密碼,然后去cmd5查一下,GET。
點擊收藏 | 1關注 | 1