记一次有趣的渗透测试

2018 年 4 月 3 日 黑客技术与网络安全 Damian

来自:信安之路(微信号:xazlsec)

作者:Damian


最近在做渗透测试的练习中遇到一个比较有意思的站点,在此记录下来,希望能给向我一样刚入安全圈不久的萌新提供一些基本思路吧。


在拿到目标站点的域名时,首要的工作肯定是进行一系列的信息搜集工作,具体搜集哪些信息以及怎么有效搜集,可以参考 Google 或者百度。


下面为了文章的简洁性,我只提及我会利用到的一些站点信息。


首先网站的真实 IP 并没有隐藏在 CDN 后面,直接在 ThreadBook 上查看同 IP 的旁站,显示足足 189 个!


看到这个数的时候,说实话内心是沉重的,虽然可以从众多的旁站入手,来拿到我们目标站的权限,不过运行了这么多站点的服务器,其防护措施,和权限的管理肯定都是比较安全。


简单的翻阅了一下网站的大概内容,发现网站更新使用的频率比较高,这也侧面的说明了管理员对网站的重视程度也算比较 ok 的。


发现网站的管理后台被隐藏了,一番爆破,Google haking 语法等也没找到后台目录。


好了,我们直接上漏扫看一下吧,撸主使用的是 AWVS (也可以使用其他的扫描器,如 Appscan,或者其他安全公司的一些漏扫产品等)。


经过一波扫描,并没有发现 SQL 注入或者 XSS 跨站等,不过倒是发现了一个 PHPCGI 的解析漏洞,详情:

http://www.hangge.com/blog/cache/detail_667.html


但是如果找不到文件上传的途径,那么这个漏洞也就无法利用了,看来必须得进后台啊


在尝试使用一个扫描敏感文件的小工具时,发现网站的跟目录存在这么一个文件/1.php

进去后是这样:

直觉告诉我,这个文件肯定有问题。


果不其然,这个小脚本竟然可以遍历网站所有目录及相关特征文件(这不就是后门么。。)


这里解释一些,这个文件可能是网站管理员上传到服务器去检测 WebShell 后门的(在我发现的前一个星期上传的),估计忘记删除了。


直接试试快速扫描,发现是一个检测后门特征的扫描模式。


直接查看代码,发现下面两个文件都是一句话后门,


具体代码如下:


难道这么轻松的就可以拿下了?


菜刀连接,发现可以连接,但是执行不了任何命令,(哭


因为该 php 文件是被正常解析的,所以可能是系统禁用了某些函数。

继续研究/1.php这个文件,尝试特征搜索 -->  login


查看相关代码,了解到该网站使用EmpireCMS


也可以得到网站的管理后台了,这个好像是帝国 CMS 的默认路径,不知道扫描器为啥没给直接爆出来。。


来到管理后台,发现后台有登录次数的限制,本菜也没找到绕过的方法,遂罢。


简单看了下 Seebug 平台上,也没有新版本的相关漏洞情况



差点忘了1.php这个“后门”文件了,从搜索结果里面直接找到数据库配置文件


由于该 Web 服务器的 IP 开放了 3306 端口,尝试使用 Navicat 连接,运气不错,直接连上了。


尝试 Mysql 直接写入一句话试试,直接执行 SQL 语句 

select '<?php eval($_post[‘shell’]);?>' into outfile 'e:/wwwroot2018/xxx/web/testtest.php'


返回

[Err] 1045 - Access deniedfor user 


没权限。。


查看数据库表,找到管理员用户名表,发现密码经过加密处理过了,

没办法,想要进后台,只能使用明文的密码。


根据登录后台定位相关代码文件,找到加密的函数


mmp,这个加密有点复杂啊


直接 copy 该函数,本地环境新建下面 php 文件,测试密码 admin 的加密输出


好了,接下来,可以直接在管理员表添加用户了,并将权限设置为最高,也就是超级管理员权限。


进入后台

由于网站存在 PHP CGI 的解析漏洞,因此我们只需上传一个 txt 文件的一句话就可以了,找到附件上传,成功上传一句话马的 txt 文件


找到上传附件模块,直接上传一句话,发现被拦截了



直接上传免杀了一句话木马文件,成功上传,截图如下

然后菜刀直接连接

http://www.xxxx.cn/d/file/p/2018-03-15/c0f6a19e6fc7881e613f6df5a2ef1bbb.txt/1.php



同上面一样,菜刀可以连接,但是执行不了任何命令

重复一下上文的猜测“因为该 php 文件是可以被正常解析的,所以可能是系统禁用了某些执行的函数”


这时候想到了各种免杀了 PHP 大马,掏出上周某大佬给的 PHP 免杀大马


直接上传成功,(鼓掌


在后面加上 php 的后缀名,成功解析,拿到 Webshell


PS 简单的看了一下服务器的目录上,发现了几十家网站的源代码,管理员也太不小心了好吧。。Webshell 已删


本篇文章就到此为止,希望自己以后多多记录,多多和大家分享。



●编号581,输入编号直达本文

●输入m获取文章目录

推荐↓↓↓

大数据与人工智能

更多推荐18个技术类公众微信

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

登录查看更多
0

相关内容

PHP 是英文超级文本预处理语言(PHP:Hypertext Preprocessor)的缩写。PHP 是一种 HTML 内嵌式的语言,是一种在服务器端执行的嵌入 HTML 文档的脚本语言,语言的风格有类似于 C 语言,被广泛的运用。PHP 具有非常强大的功能,所有的 CGI 的功能 PHP 都能实现,而且支持几乎所有流行的数据库以及操作系统。
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
194+阅读 · 2020年6月29日
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
打怪升级!2020机器学习工程师技术路线图
专知会员服务
98+阅读 · 2020年6月3日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
Python导论,476页pdf,现代Python计算
专知会员服务
260+阅读 · 2020年5月17日
干净的数据:数据清洗入门与实践,204页pdf
专知会员服务
161+阅读 · 2020年5月14日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【资源】100+本免费数据科学书
专知会员服务
107+阅读 · 2020年3月17日
分享8个强大的黑客技术学习网站
黑客技术与网络安全
88+阅读 · 2019年8月29日
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
Arxiv
6+阅读 · 2019年7月11日
Neural Response Generation with Meta-Words
Arxiv
6+阅读 · 2019年6月14日
q-Space Novelty Detection with Variational Autoencoders
Neural Architecture Optimization
Arxiv
8+阅读 · 2018年9月5日
Arxiv
4+阅读 · 2018年4月10日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
194+阅读 · 2020年6月29日
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
打怪升级!2020机器学习工程师技术路线图
专知会员服务
98+阅读 · 2020年6月3日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
Python导论,476页pdf,现代Python计算
专知会员服务
260+阅读 · 2020年5月17日
干净的数据:数据清洗入门与实践,204页pdf
专知会员服务
161+阅读 · 2020年5月14日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【资源】100+本免费数据科学书
专知会员服务
107+阅读 · 2020年3月17日
相关资讯
分享8个强大的黑客技术学习网站
黑客技术与网络安全
88+阅读 · 2019年8月29日
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
相关论文
Top
微信扫码咨询专知VIP会员