实战|探究公众号接口漏洞:从后台登录口到旁站getshell

admin 2024年11月24日12:29:46评论32 views字数 1224阅读4分4秒阅读模式

1、发现与利用公众号接口的安全漏洞
某120公众号提供了一处考核平台,通过浏览器处打开该网站。

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

打开可以看到一处密码登录口,试了一下常用的手机号和密码,没有登录成功。

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

这个时候扫个目录吧。

扫到了一处管理员页面:

/index.php?c=home&action=admin_login

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

管理员弱口令
使用弱口令admin123,登录成功了,看一看,没有可以上传的点

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

前台弱口令
在burp里面找到一处未授权接口index.php?c=xx120&action=test_admin

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

点开看一看只是一些用户手机号和成绩,这个时候想到前台就是通过手机号登录的,找几个用户手机号试一下。

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

访问前台登录口:

/index.php?c=account&action=login
136XXXXXXXX/123456
成功登录!

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

好像并没有什么可以利用的地方。

sql注入
使用burpsuite抓包看看有没有参数存在sql注入。(我个人喜欢用一个小插件xia SQL,这个找sql注入还是很方便的),果不其然,找到一个:
index.php?c=hd120&action=edit_test&id=7+0

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

index.php?c=hd120&action=edit_test&id=7-0

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

这么明显,那么利用sqlmap跑一下吧

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

有注入,也是dba权限,--os-shell没法爆破,找找路径吧。

2、发现旁站:
通过ICP/IP备案找找这个网站有没有什么其他信息

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

这个域名的备案号结尾是2,可那个网站是备案号是1,直接搜索备案号看看

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

找到了另一个域名,访问看一看什么样的

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

也是一个类似于小程序的界面,盲猜管理员路径一摸一样
/index.php?c=home&action=admin_login

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

果然,使用弱口令再登录一次

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

文件上传漏洞与getshell攻击
想起前台有个发布的功能点,返回去看看。

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

显示要登录得先注册,那我先注册一个账号,还好不限制用户手机号

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

ok了,我来登录一下。

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

登录成功,看看有些什么功能点,发布处没有上传的地方,但是有上传头像的地方。

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

这个地方就可以利用上传木马文件进行getshell了
使用burp抓包,没有任何的防护,直接一句话木马,返回的路径名存在cookie里面

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

利用蚁剑连接:

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

成功连接

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

原来120的网站也在同一个根目录下

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

除了admin123还有另外的管理员密码

实战|探究公众号接口漏洞:从后台登录口到旁站getshell

这比刚刚就多了一些栏目,还泄漏了身份证号等敏感信息。

3、总结
在本次尝试中,我们使用公众号接口得到了一个后台登录口,并发现了弱口令。通过利用这个弱口令,我们成功进入后台。在后台中,我们发现了一处SQL注入漏洞,虽然没有通过sql注入拿到shell ,但是访问到了旁站,并发现了存在文件上传漏洞的问题。通过进一步利用这个漏洞,我们成功得到了getshell。

文章来源:https://xz.aliyun.com/t/12321

原文始发于微信公众号(亿人安全):实战|探究公众号接口漏洞:从后台登录口到旁站getshell

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月24日12:29:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战|探究公众号接口漏洞:从后台登录口到旁站getshellhttps://cn-sec.com/archives/1617723.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息