实战 | 记一次解析漏洞渗透经历

admin 2022年11月15日12:05:39评论39 views字数 1606阅读5分21秒阅读模式

目标

信息如下

环境:windows iis7.5 PHP/5.3.28

看到 iis7.5+php 第一时间就想到了 Fast-CGI 解析漏洞

解析漏洞

页面是一个登入页面,一个二级域名

实战 | 记一次解析漏洞渗透经历


这里随便找一个图片链接地址然后在链接后面加上/.php 成功解析

http://xxxx.xxxxx.com/images/l.jpg/.php

实战 | 记一次解析漏洞渗透经历

现在已经确认有解析漏洞,只需要找到上传的地方就可以了

kindeditor

翻 js 文件的时候在里面发现了 kindeditor,也得到了路径
实战 | 记一次解析漏洞渗透经历

现在来构造一个上传的 html

<html>
<head></head>
<body>
<form name="form" enctype="multipart/form-data" method="post" action="http://xxxxx.com/include/plugin/kindeditor/php/upload_json.php?dir=file">
<input type="file" name="imgFile" />
<input type="submit" value="Submit" />
</form>
</body>
</html>

准备好一句话木马将后缀名改为.docx,然后选择上传,成功上传得到地址!
实战 | 记一次解析漏洞渗透经历

执行命令

现在拿出我们的蚁剑,添加连接,只有 www 目录的访问权无法跨目录

实战 | 记一次解析漏洞渗透经历

接下来试试看执行命令,无法执行命令,得到系统 2008

实战 | 记一次解析漏洞渗透经历

看了一下 phpinfo 被 disable_functions 了

实战 | 记一次解析漏洞渗透经历

然后我去看了一下他主站是一个 asp 的站,跟这个域名同一台,然后上传了一个 asp 一句话,成功执行了命令

! 一个 iis 权限,现在也可以看整个 D 盘不再是 www 目录

也支持 aspx 试了一下跟 asp 一样权限也只能看 d 盘

FileZilla_server

翻了翻文件夹找到了个 FileZilla_server

实战 | 记一次解析漏洞渗透经历

看了下端口 14147 也开放,看了 FileZilla Server Interface.xml 文件我们可以看到它的连接地址:127.0.0.1 及端口:14147,密码这里为空。

实战 | 记一次解析漏洞渗透经历

reDuh 转发 14147

reDuh 工具可以把内网服务器的端口通过 httptps 隧道转发到本机,形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。

本机——-客户端———(http 隧道)———–服务端——————内网服务器

服务端是个 webshell(针对不同服务器有 aspx,php,jsp 三个版本),客户端是 java 写的,本机执行最好装上 JDK。

把服务端的 webshell 上传到目标服务器,然后访问,我这里是用的 aspx 的

实战 | 记一次解析漏洞渗透经历

命令行下用客户端连接服务端

java -jar reDuhClient.jar http://xxx.com/r.aspx

实战 | 记一次解析漏洞渗透经历

使用 nc 本地连接 1010 端口

实战 | 记一次解析漏洞渗透经历

连接成功会有欢迎提示,之后输入命令

[createTunnel]1234:127.0.0.1:14147

前面的 1234 是本机连接用的端口,中间的 ip 地址是目标服务器的(可以是 webshell 所在服务器也可以是和它同内网的服务器),后面的 14147 是欲连接目标服务器的端口。
实战 | 记一次解析漏洞渗透经历

成功将 14147 转发出来了!

连接 FileZilla

打开 FileZilla,连接本地的 1234,密码为空

实战 | 记一次解析漏洞渗透经历

成功登入

实战 | 记一次解析漏洞渗透经历

添加个用户

实战 | 记一次解析漏洞渗透经历

权限都点满

实战 | 记一次解析漏洞渗透经历

然后使用 winscp 连接,可以读取 C 盘文件了

实战 | 记一次解析漏洞渗透经历

这里替换了粘贴键为 cmd 然后开启 3389 去,然后使用即可

实战 | 记一次解析漏洞渗透经历


推荐阅读:


实战 | 记一次SSRF攻击内网的实战案例


实战 | 记两次应急响应小记


干货 | Wordpress网站渗透方法指南


实战 | 当裸聊诈骗遇到黑客,记一次新型的裸聊诈骗渗透经历


2022年零基础+进阶系统化白帽黑客学习 |  11月特别优惠活动


干货 | Github安全搬运工 2022年第二十期


点赞,转发,在看

作者:Jun

文章来源:blog.mo60.cn

如有侵权,请联系删除

实战 | 记一次解析漏洞渗透经历

原文始发于微信公众号(HACK学习呀):实战 | 记一次解析漏洞渗透经历

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月15日12:05:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 记一次解析漏洞渗透经历http://cn-sec.com/archives/1410362.html

发表评论

匿名网友 填写信息