注:文章仅用于技术分享,漏洞均已上报相关平台,切勿非法测试,一切后果自行承担,与本公众号以及号主无关
前几天,病毒四起,显然我也没有逃脱病毒的缠绕,直接螺旋升天体温飙到了38.5°,直接起飞,所以请了几天假,晚上蒙13之余,我又点起了fofa,开启了我的打野之旅
文末可领EDUSRC邀请码嗷
奇葩的信息收集
无聊就看fofa资产,今天要挖的是edu,随便点进去一个
又是这种伪静态,一般我会尝试几个常见的后台路径什么的,前面文章有总结几个常见的路径。
但是,未果,没有尝试出来,按照一般我的思路,就是去收集一下有哪些子域名了(目前没有什么好用的子域名探测工具,师傅们有没有推荐的呀,可以微信公众号告诉我下,蟹蟹~)
没有好用的工具,那就直接用fofa来冲!直接输入二级域名,子域名什么的都出来了,哈哈
还挺好用嘞
就在看子域名资产的时候,发现有一个页面(子域名)有点东西,于是仔细的测了测
从这个测试页面中,cms的名称大概知道了,直接F12大法,看源代码,在源码中看到了几个url,不过后面都是本地+路径,不管了,直接存起来,说不定后面能用上
其实这里可以大致猜出来,大概率是利用thinkphp框架二次开发的了,怎么知道的?看的路径(只能说是大概率,不能太绝对)
这里可以记录一下,cms的版本号,于是没有其他信息了,就开始问度娘了
wishtoday,没找到什么有用的信息,只是知道了是一个网站管理群系统,这里我产生了一个想法,既然子站使用的是这个cms,会不会主站也是一样的cms,只是做了隐藏(伪静态,不好找后台什么的),于是便把之前收集到的路径往主站上拼接,谁知道,真特喵的是
而且还有注册入口,笑死我了,看来这个大学做的文件隐藏不怎么样呀,分别点一下两个功能,看看能不能正常使用
登录界面,额。。。应该是路径拼接的问题,根据我的第六感,换了一下拼接方式,试试回显
完蛋,登录页面是GG了,下面看注册页面
他喵的,还是不行,再次使用我的第六感,修改该拼接路径试试
我不服,再试试(这里直接按照逻辑漏洞挖掘思路来,尝试删减增加请求参数)
吆西,果然,我的第六感还是很厉害的(说着玩哈哈哈)
这里我思考了一下,为啥他喵的是POSCMS,不是前面我收集到的信息是VCMS嘛?不管了,瞎猫碰上死耗子了也算是,应该他们的开发框架都是一样的吧,所以请求路径相差不大
直接注册,admin
哦吼,点击下面的直接登录,尝试一波弱口令
额。。。可以可以,这里为什么会一片空白捏?
漏洞发现及利用
回到注册界面继续注册
这里我大概知道为什么直接去登录会空白了,可能是因为网站管理员想要免登录,直接利用cookie机制去直接登录,这样可以避免其他用户爆破账号密码、防sql注入什么的,总之就是,安全、方便
能够利用的信息就这些了,注册成功了,去测测功能点吧
修改密码、我的资料什么的界面功能点该测的基本都测试完了,没什么能用到的了,直接看相关的开发手册吧,没看懂,直接看有没有nday,发现在
/index.php?s=member&c=api&m=down_file&iajax=1界面下面有ssrf漏洞,直接POC一下,做下漏洞检测
直接POST请求一下file参数,尝试读取一下服务器文件,这里利用file:// 伪协议(截图有问题,哈哈)
返回json参数状态码为1,文件名为xxxxd489.
这个CMS的源码文件有uploadfile路径,应该是在这个里面(源码已经拿到了)
直接尝试访问,可以直接下载到本地(厚厚的打了一下码,嘿嘿)
下面开始批量看下可以拿到哪些文件了,下面附上字典(来自网络,不是本人收集的)
/apache/apache/conf/httpd.conf/apache/apache2/conf/httpd.conf/apache/php/php.ini/bin/php.ini/etc/anacrontab/etc/apache/apache.conf/etc/apache/httpd.conf/etc/apache2/apache.conf/etc/apache2/httpd.conf/etc/apache2/sites-available/default/etc/apache2/vhosts.d/00_default_vhost.conf/etc/at.allow/etc/at.deny/etc/cron.allow/etc/cron.deny/etc/crontab/etc/fstab/etc/host.conf/etc/httpd/conf.d/httpd.conf/etc/httpd/conf.d/php.conf/etc/httpd/conf/httpd.conf/etc/httpd/htdocs/index.html/etc/httpd/htdocs/index.php/etc/httpd/logs/access.log/etc/httpd/logs/access_log/etc/httpd/logs/error.log/etc/httpd/logs/error_log/etc/httpd/php.ini/etc/init.d/httpd/etc/init.d/mysql/etc/ld.so.conf/etc/motd/etc/my.cnf/etc/mysql/my.cnf/etc/mysql/my.cnf/etc/network/interfaces/etc/networks/etc/passwd/etc/php.ini/etc/php/apache/php.ini/etc/php/apache2/php.ini/etc/php/cgi/php.ini/etc/php/php.ini/etc/php/php4/php.ini/etc/php4.4/fcgi/php.ini/etc/php4/apache/php.ini/etc/php4/apache2/php.ini/etc/php4/cgi/php.ini/etc/php5/apache/php.ini/etc/php5/apache2/php.ini/etc/php5/cgi/php.ini/etc/phpmyadmin/config.inc.php/etc/resolv.conf/etc/shadow/etc/ssh/sshd_config/etc/ssh/sshd_config/etc/ssh/ssh_config/etc/ssh/ssh_config/etc/ssh/ssh_host_dsa_key/etc/ssh/ssh_host_dsa_key/etc/ssh/ssh_host_dsa_key.pub/etc/ssh/ssh_host_dsa_key.pub/etc/ssh/ssh_host_key/etc/ssh/ssh_host_key/etc/ssh/ssh_host_key.pub/etc/ssh/ssh_host_key.pub/etc/ssh/ssh_host_rsa_key/etc/ssh/ssh_host_rsa_key/etc/ssh/ssh_host_rsa_key.pub/etc/ssh/ssh_host_rsa_key.pub/etc/sysconfig/network/etc/sysconfig/network/home/apache/conf/httpd.conf/home/apache2/conf/httpd.conf/home/bin/stable/apache/php.ini/home2/bin/stable/apache/php.ini/NetServer/bin/stable/apache/php.ini/opt/www/conf/httpd.conf/opt/www/htdocs/index.html/opt/www/htdocs/index.php/opt/xampp/etc/php.ini/PHP/php.ini/php/php.ini/php4/php.ini/php5/php.ini/root/.atftp_history/root/.bashrc/root/.bash_history/root/.mysql_history/root/.nano_history/root/.php_history/root/.profile/root/.ssh/authorized_keys/root/.ssh/identity/root/.ssh/identity.pub/root/.ssh/id_dsa/root/.ssh/id_dsa.pub/root/.ssh/id_rsa/root/.ssh/id_rsa.pub/root/anaconda-ks.cfg/tmp/apache/htdocs/index.html/tmp/apache/htdocs/index.php/usr/lib/php.ini/usr/lib/php/php.ini/usr/local/apache/conf/httpd.conf/usr/local/apache/conf/php.ini/usr/local/apache/htdocs/index.html/usr/local/apache/htdocs/index.php/usr/local/apache/logs/access.log/usr/local/apache/logs/access_log/usr/local/apache/logs/access_logaccess_log.old/usr/local/apache/logs/error.log/usr/local/apache/logs/error_log/usr/local/apache/logs/error_logerror_log.old/usr/local/apache2/conf/httpd.conf/usr/local/apache2/conf/php.ini/usr/local/apache2/htdocs/index.html/usr/local/apache2/htdocs/index.php/usr/local/cpanel/logs/usr/local/cpanel/logs/access_log/usr/local/cpanel/logs/error_log/usr/local/cpanel/logs/license_log/usr/local/cpanel/logs/login_log/usr/local/cpanel/logs/stats_log/usr/local/cpanel/logs/stats_log/usr/local/etc/php.ini/usr/local/httpd/conf/httpd.conf/usr/local/httpd2.2/htdocs/index.html/usr/local/httpd2.2/htdocs/index.php/usr/local/lib/php.ini/usr/local/mysql/bin/mysql/usr/local/mysql/my.cnf/usr/local/php/lib/php.ini/usr/local/php4/lib/php.ini/usr/local/php4/lib/php.ini/usr/local/php4/php.ini/usr/local/php5/etc/php.ini/usr/local/php5/lib/php.ini/usr/local/php5/php5.ini/usr/local/share/examples/php/php.ini/usr/local/share/examples/php4/php.ini/usr/local/tomcat5527/bin/version.sh/usr/local/Zend/etc/php.ini/usr/share/tomcat6/bin/startup.sh/usr/tomcat6/bin/startup.sh/var/apache2/config.inc/var/httpd/conf/httpd.conf/var/httpd/conf/php.ini/var/httpd/conf/php.ini/var/httpd/htdocs/index.html/var/httpd/htdocs/index.php/var/lib/mysql/my.cnf/var/lib/mysql/mysql/user.MYD/var/local/www/conf/httpd.conf/var/local/www/conf/php.ini/var/log/access.log/var/log/access_log/var/log/apache/access.log/var/log/apache/access_log/var/log/apache/error.log/var/log/apache/error_log/var/log/apache2/access.log/var/log/apache2/access_log/var/log/apache2/error.log/var/log/apache2/error_log/var/log/error.log/var/log/error_log/var/log/mysql.log/var/log/mysql/mysql-bin.log/var/log/mysql/mysql-slow.log/var/log/mysql/mysql.log/var/log/mysqlderror.log/var/mail/root/var/mysql.log/var/spool/cron/crontabs/root/var/spool/mail/root/var/www/conf/httpd.conf/var/www/htdocs/index.html/var/www/htdocs/index.php/var/www/index.html/var/www/index.php/var/www/logs/access.log/var/www/logs/access_log/var/www/logs/error.log/var/www/logs/error_log/web/conf/php.ini/www/conf/httpd.conf/www/htdocs/index.html/www/htdocs/index.php/www/php/php.ini/www/php4/php.ini/www/php5/php.ini/xampp/apache/bin/php.ini/xampp/apache/conf/httpd.confroot/.ssh/authorized_keysroot/.ssh/identityroot/.ssh/identity.pubroot/.ssh/id_dsaroot/.ssh/id_dsa.pubroot/.ssh/id_rsaroot/.ssh/id_rsa.pub
打开我的小bp,爆破一下
丢到爆破模块,开始!
这些都是可以拿到的(漏洞已经修复)
又水一个洞洞,看病去
总结
实战中发现的一些姿势记录下来,方便以后来尝试。通过这次的挖掘让我明白了信息收集中子域名(子站)资产收集的重要性,正如一位名人所说:"泥煤的,主站打不下来,就去看相关资产,从侧面下手,可能会有一些发现" --By:迪总 (迪哥讲的真不错)
为感谢各位师傅的关注与支持,小F0R给大家准备了50个edu邀请码(此处感谢莫言师傅的支持!),后面文章发布还会继续发放50个edu平台邀请码等福利!希望大家都可以继续心中的白客梦,不断准求技术进步!
微信公众号回复:EDU邀请码 即可获取
EDUSRC
https://src.sjtu.edu.cn/夜晚、秋风、落叶和我
原文始发于微信公众号(朱厌安全团队):我的打野笔记-day3
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论