注:文章仅用于技术分享,漏洞均已上报相关平台,切勿非法测试,一切后果自行承担,与本公众号以及号主无关
前几天,病毒四起,显然我也没有逃脱病毒的缠绕,直接螺旋升天体温飙到了38.5°,直接起飞,所以请了几天假,晚上蒙13之余,我又点起了fofa,开启了我的打野之旅
文末可领EDUSRC邀请码嗷
奇葩的信息收集
无聊就看fofa资产,今天要挖的是edu,随便点进去一个
又是这种伪静态,一般我会尝试几个常见的后台路径什么的,前面文章有总结几个常见的路径。
但是,未果,没有尝试出来,按照一般我的思路,就是去收集一下有哪些子域名了(目前没有什么好用的子域名探测工具,师傅们有没有推荐的呀,可以微信公众号告诉我下,蟹蟹~)
没有好用的工具,那就直接用fofa来冲!直接输入二级域名,子域名什么的都出来了,哈哈
还挺好用嘞
就在看子域名资产的时候,发现有一个页面(子域名)有点东西,于是仔细的测了测
从这个测试页面中,cms的名称大概知道了,直接F12大法,看源代码,在源码中看到了几个url,不过后面都是本地+路径,不管了,直接存起来,说不定后面能用上
其实这里可以大致猜出来,大概率是利用thinkphp框架二次开发的了,怎么知道的?看的路径(只能说是大概率,不能太绝对)
这里可以记录一下,cms的版本号,于是没有其他信息了,就开始问度娘了
wishtoday,没找到什么有用的信息,只是知道了是一个网站管理群系统,这里我产生了一个想法,既然子站使用的是这个cms,会不会主站也是一样的cms,只是做了隐藏(伪静态,不好找后台什么的),于是便把之前收集到的路径往主站上拼接,谁知道,真特喵的是
而且还有注册入口,笑死我了,看来这个大学做的文件隐藏不怎么样呀,分别点一下两个功能,看看能不能正常使用
登录界面,额。。。应该是路径拼接的问题,根据我的第六感,换了一下拼接方式,试试回显
完蛋,登录页面是GG了,下面看注册页面
他喵的,还是不行,再次使用我的第六感,修改该拼接路径试试
我不服,再试试(这里直接按照逻辑漏洞挖掘思路来,尝试删减增加请求参数)
吆西,果然,我的第六感还是很厉害的(说着玩哈哈哈)
这里我思考了一下,为啥他喵的是POSCMS,不是前面我收集到的信息是VCMS嘛?不管了,瞎猫碰上死耗子了也算是,应该他们的开发框架都是一样的吧,所以请求路径相差不大
直接注册,admin
哦吼,点击下面的直接登录,尝试一波弱口令
额。。。可以可以,这里为什么会一片空白捏?
漏洞发现及利用
回到注册界面继续注册
这里我大概知道为什么直接去登录会空白了,可能是因为网站管理员想要免登录,直接利用cookie机制去直接登录,这样可以避免其他用户爆破账号密码、防sql注入什么的,总之就是,安全、方便
能够利用的信息就这些了,注册成功了,去测测功能点吧
修改密码、我的资料什么的界面功能点该测的基本都测试完了,没什么能用到的了,直接看相关的开发手册吧,没看懂,直接看有没有nday,发现在
/index.php?s=member&c=api&m=down_file&iajax=1
界面下面有ssrf漏洞,直接POC一下,做下漏洞检测
直接POST请求一下file参数,尝试读取一下服务器文件,这里利用file:// 伪协议(截图有问题,哈哈)
返回json参数状态码为1,文件名为xxxxd489.
这个CMS的源码文件有uploadfile路径,应该是在这个里面(源码已经拿到了)
直接尝试访问,可以直接下载到本地(厚厚的打了一下码,嘿嘿)
下面开始批量看下可以拿到哪些文件了,下面附上字典(来自网络,不是本人收集的)
/apache/apache/conf/httpd.conf
/apache/apache2/conf/httpd.conf
/apache/php/php.ini
/bin/php.ini
/etc/anacrontab
/etc/apache/apache.conf
/etc/apache/httpd.conf
/etc/apache2/apache.conf
/etc/apache2/httpd.conf
/etc/apache2/sites-available/default
/etc/apache2/vhosts.d/00_default_vhost.conf
/etc/at.allow
/etc/at.deny
/etc/cron.allow
/etc/cron.deny
/etc/crontab
/etc/fstab
/etc/host.conf
/etc/httpd/conf.d/httpd.conf
/etc/httpd/conf.d/php.conf
/etc/httpd/conf/httpd.conf
/etc/httpd/htdocs/index.html
/etc/httpd/htdocs/index.php
/etc/httpd/logs/access.log
/etc/httpd/logs/access_log
/etc/httpd/logs/error.log
/etc/httpd/logs/error_log
/etc/httpd/php.ini
/etc/init.d/httpd
/etc/init.d/mysql
/etc/ld.so.conf
/etc/motd
/etc/my.cnf
/etc/mysql/my.cnf
/etc/mysql/my.cnf
/etc/network/interfaces
/etc/networks
/etc/passwd
/etc/php.ini
/etc/php/apache/php.ini
/etc/php/apache2/php.ini
/etc/php/cgi/php.ini
/etc/php/php.ini
/etc/php/php4/php.ini
/etc/php4.4/fcgi/php.ini
/etc/php4/apache/php.ini
/etc/php4/apache2/php.ini
/etc/php4/cgi/php.ini
/etc/php5/apache/php.ini
/etc/php5/apache2/php.ini
/etc/php5/cgi/php.ini
/etc/phpmyadmin/config.inc.php
/etc/resolv.conf
/etc/shadow
/etc/ssh/sshd_config
/etc/ssh/sshd_config
/etc/ssh/ssh_config
/etc/ssh/ssh_config
/etc/ssh/ssh_host_dsa_key
/etc/ssh/ssh_host_dsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_key
/etc/ssh/ssh_host_key
/etc/ssh/ssh_host_key.pub
/etc/ssh/ssh_host_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/sysconfig/network
/etc/sysconfig/network
/home/apache/conf/httpd.conf
/home/apache2/conf/httpd.conf
/home/bin/stable/apache/php.ini
/home2/bin/stable/apache/php.ini
/NetServer/bin/stable/apache/php.ini
/opt/www/conf/httpd.conf
/opt/www/htdocs/index.html
/opt/www/htdocs/index.php
/opt/xampp/etc/php.ini
/PHP/php.ini
/php/php.ini
/php4/php.ini
/php5/php.ini
/root/.atftp_history
/root/.bashrc
/root/.bash_history
/root/.mysql_history
/root/.nano_history
/root/.php_history
/root/.profile
/root/.ssh/authorized_keys
/root/.ssh/identity
/root/.ssh/identity.pub
/root/.ssh/id_dsa
/root/.ssh/id_dsa.pub
/root/.ssh/id_rsa
/root/.ssh/id_rsa.pub
/root/anaconda-ks.cfg
/tmp/apache/htdocs/index.html
/tmp/apache/htdocs/index.php
/usr/lib/php.ini
/usr/lib/php/php.ini
/usr/local/apache/conf/httpd.conf
/usr/local/apache/conf/php.ini
/usr/local/apache/htdocs/index.html
/usr/local/apache/htdocs/index.php
/usr/local/apache/logs/access.log
/usr/local/apache/logs/access_log
/usr/local/apache/logs/access_logaccess_log.old
/usr/local/apache/logs/error.log
/usr/local/apache/logs/error_log
/usr/local/apache/logs/error_logerror_log.old
/usr/local/apache2/conf/httpd.conf
/usr/local/apache2/conf/php.ini
/usr/local/apache2/htdocs/index.html
/usr/local/apache2/htdocs/index.php
/usr/local/cpanel/logs
/usr/local/cpanel/logs/access_log
/usr/local/cpanel/logs/error_log
/usr/local/cpanel/logs/license_log
/usr/local/cpanel/logs/login_log
/usr/local/cpanel/logs/stats_log
/usr/local/cpanel/logs/stats_log
/usr/local/etc/php.ini
/usr/local/httpd/conf/httpd.conf
/usr/local/httpd2.2/htdocs/index.html
/usr/local/httpd2.2/htdocs/index.php
/usr/local/lib/php.ini
/usr/local/mysql/bin/mysql
/usr/local/mysql/my.cnf
/usr/local/php/lib/php.ini
/usr/local/php4/lib/php.ini
/usr/local/php4/lib/php.ini
/usr/local/php4/php.ini
/usr/local/php5/etc/php.ini
/usr/local/php5/lib/php.ini
/usr/local/php5/php5.ini
/usr/local/share/examples/php/php.ini
/usr/local/share/examples/php4/php.ini
/usr/local/tomcat5527/bin/version.sh
/usr/local/Zend/etc/php.ini
/usr/share/tomcat6/bin/startup.sh
/usr/tomcat6/bin/startup.sh
/var/apache2/config.inc
/var/httpd/conf/httpd.conf
/var/httpd/conf/php.ini
/var/httpd/conf/php.ini
/var/httpd/htdocs/index.html
/var/httpd/htdocs/index.php
/var/lib/mysql/my.cnf
/var/lib/mysql/mysql/user.MYD
/var/local/www/conf/httpd.conf
/var/local/www/conf/php.ini
/var/log/access.log
/var/log/access_log
/var/log/apache/access.log
/var/log/apache/access_log
/var/log/apache/error.log
/var/log/apache/error_log
/var/log/apache2/access.log
/var/log/apache2/access_log
/var/log/apache2/error.log
/var/log/apache2/error_log
/var/log/error.log
/var/log/error_log
/var/log/mysql.log
/var/log/mysql/mysql-bin.log
/var/log/mysql/mysql-slow.log
/var/log/mysql/mysql.log
/var/log/mysqlderror.log
/var/mail/root
/var/mysql.log
/var/spool/cron/crontabs/root
/var/spool/mail/root
/var/www/conf/httpd.conf
/var/www/htdocs/index.html
/var/www/htdocs/index.php
/var/www/index.html
/var/www/index.php
/var/www/logs/access.log
/var/www/logs/access_log
/var/www/logs/error.log
/var/www/logs/error_log
/web/conf/php.ini
/www/conf/httpd.conf
/www/htdocs/index.html
/www/htdocs/index.php
/www/php/php.ini
/www/php4/php.ini
/www/php5/php.ini
/xampp/apache/bin/php.ini
/xampp/apache/conf/httpd.conf
root/.ssh/authorized_keys
root/.ssh/identity
root/.ssh/identity.pub
root/.ssh/id_dsa
root/.ssh/id_dsa.pub
root/.ssh/id_rsa
root/.ssh/id_rsa.pub
打开我的小bp,爆破一下
丢到爆破模块,开始!
这些都是可以拿到的(漏洞已经修复)
又水一个洞洞,看病去
总结
实战中发现的一些姿势记录下来,方便以后来尝试。通过这次的挖掘让我明白了信息收集中子域名(子站)资产收集的重要性,正如一位名人所说:"泥煤的,主站打不下来,就去看相关资产,从侧面下手,可能会有一些发现" --By:迪总 (迪哥讲的真不错)
为感谢各位师傅的关注与支持,小F0R给大家准备了50个edu邀请码(此处感谢莫言师傅的支持!),后面文章发布还会继续发放50个edu平台邀请码等福利!希望大家都可以继续心中的白客梦,不断准求技术进步!
微信公众号回复:EDU邀请码 即可获取
EDUSRC
https://src.sjtu.edu.cn/
夜晚、秋风、落叶和我
原文始发于微信公众号(朱厌安全团队):我的打野笔记-day3
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论