我的打野笔记-day3

admin 2024年11月24日11:59:05评论2 views字数 6634阅读22分6秒阅读模式

文章仅用于技术分享,漏洞均已上报相关平台,切勿非法测试,一切后果自行承担,与本公众号以及号主无关

前几天,病毒四起,显然我也没有逃脱病毒的缠绕,直接螺旋升天体温飙到了38.5°,直接起飞,所以请了几天假,晚上蒙13之余,我又点起了fofa,开启了我的打野之旅

文末可领EDUSRC邀请码嗷 

奇葩的信息收集

无聊就看fofa资产,今天要挖的是edu,随便点进去一个

我的打野笔记-day3

又是这种伪静态,一般我会尝试几个常见的后台路径什么的,前面文章有总结几个常见的路径。

但是,未果,没有尝试出来,按照一般我的思路,就是去收集一下有哪些子域名了(目前没有什么好用的子域名探测工具,师傅们有没有推荐的呀,可以微信公众号告诉我下,蟹蟹~)

没有好用的工具,那就直接用fofa来冲!直接输入二级域名,子域名什么的都出来了,哈哈

我的打野笔记-day3

还挺好用嘞

就在看子域名资产的时候,发现有一个页面(子域名)有点东西,于是仔细的测了测

我的打野笔记-day3

从这个测试页面中,cms的名称大概知道了,直接F12大法,看源代码,在源码中看到了几个url,不过后面都是本地+路径,不管了,直接存起来,说不定后面能用上

我的打野笔记-day3

我的打野笔记-day3

其实这里可以大致猜出来,大概率是利用thinkphp框架二次开发的了,怎么知道的?看的路径(只能说是大概率,不能太绝对)

我的打野笔记-day3

这里可以记录一下,cms的版本号,于是没有其他信息了,就开始问度娘了

wishtoday,没找到什么有用的信息,只是知道了是一个网站管理群系统,这里我产生了一个想法,既然子站使用的是这个cms,会不会主站也是一样的cms,只是做了隐藏(伪静态,不好找后台什么的),于是便把之前收集到的路径往主站上拼接,谁知道,真特喵的是

我的打野笔记-day3

而且还有注册入口,笑死我了,看来这个大学做的文件隐藏不怎么样呀,分别点一下两个功能,看看能不能正常使用

我的打野笔记-day3

登录界面,额。。。应该是路径拼接的问题,根据我的第六感,换了一下拼接方式,试试回显

我的打野笔记-day3

完蛋,登录页面是GG了,下面看注册页面

我的打野笔记-day3

他喵的,还是不行,再次使用我的第六感,修改该拼接路径试试

我的打野笔记-day3

我不服,再试试(这里直接按照逻辑漏洞挖掘思路来,尝试删减增加请求参数)

我的打野笔记-day3

吆西,果然,我的第六感还是很厉害的(说着玩哈哈哈)

这里我思考了一下,为啥他喵的是POSCMS,不是前面我收集到的信息是VCMS嘛?不管了,瞎猫碰上死耗子了也算是,应该他们的开发框架都是一样的吧,所以请求路径相差不大

直接注册,admin

我的打野笔记-day3

哦吼,点击下面的直接登录,尝试一波弱口令

我的打野笔记-day3

额。。。可以可以,这里为什么会一片空白捏?我的打野笔记-day3

漏洞发现及利用

回到注册界面继续注册

我的打野笔记-day3

这里我大概知道为什么直接去登录会空白了,可能是因为网站管理员想要免登录,直接利用cookie机制去直接登录,这样可以避免其他用户爆破账号密码、防sql注入什么的,总之就是,安全、方便

能够利用的信息就这些了,注册成功了,去测测功能点吧

我的打野笔记-day3

修改密码、我的资料什么的界面功能点该测的基本都测试完了,没什么能用到的了,直接看相关的开发手册吧,没看懂,直接看有没有nday,发现在

/index.php?s=member&c=api&m=down_file&iajax=1

界面下面有ssrf漏洞,直接POC一下,做下漏洞检测

直接POST请求一下file参数,尝试读取一下服务器文件,这里利用file:// 伪协议(截图有问题,哈哈)

我的打野笔记-day3

返回json参数状态码为1,文件名为xxxxd489.

这个CMS的源码文件有uploadfile路径,应该是在这个里面(源码已经拿到了)

直接尝试访问,可以直接下载到本地(厚厚的打了一下码,嘿嘿)

我的打野笔记-day3

下面开始批量看下可以拿到哪些文件了,下面附上字典(来自网络,不是本人收集的)

/apache/apache/conf/httpd.conf/apache/apache2/conf/httpd.conf/apache/php/php.ini/bin/php.ini/etc/anacrontab/etc/apache/apache.conf/etc/apache/httpd.conf/etc/apache2/apache.conf/etc/apache2/httpd.conf/etc/apache2/sites-available/default/etc/apache2/vhosts.d/00_default_vhost.conf/etc/at.allow/etc/at.deny/etc/cron.allow/etc/cron.deny/etc/crontab/etc/fstab/etc/host.conf/etc/httpd/conf.d/httpd.conf/etc/httpd/conf.d/php.conf/etc/httpd/conf/httpd.conf/etc/httpd/htdocs/index.html/etc/httpd/htdocs/index.php/etc/httpd/logs/access.log/etc/httpd/logs/access_log/etc/httpd/logs/error.log/etc/httpd/logs/error_log/etc/httpd/php.ini/etc/init.d/httpd/etc/init.d/mysql/etc/ld.so.conf/etc/motd/etc/my.cnf/etc/mysql/my.cnf/etc/mysql/my.cnf/etc/network/interfaces/etc/networks/etc/passwd/etc/php.ini/etc/php/apache/php.ini/etc/php/apache2/php.ini/etc/php/cgi/php.ini/etc/php/php.ini/etc/php/php4/php.ini/etc/php4.4/fcgi/php.ini/etc/php4/apache/php.ini/etc/php4/apache2/php.ini/etc/php4/cgi/php.ini/etc/php5/apache/php.ini/etc/php5/apache2/php.ini/etc/php5/cgi/php.ini/etc/phpmyadmin/config.inc.php/etc/resolv.conf/etc/shadow/etc/ssh/sshd_config/etc/ssh/sshd_config/etc/ssh/ssh_config/etc/ssh/ssh_config/etc/ssh/ssh_host_dsa_key/etc/ssh/ssh_host_dsa_key/etc/ssh/ssh_host_dsa_key.pub/etc/ssh/ssh_host_dsa_key.pub/etc/ssh/ssh_host_key/etc/ssh/ssh_host_key/etc/ssh/ssh_host_key.pub/etc/ssh/ssh_host_key.pub/etc/ssh/ssh_host_rsa_key/etc/ssh/ssh_host_rsa_key/etc/ssh/ssh_host_rsa_key.pub/etc/ssh/ssh_host_rsa_key.pub/etc/sysconfig/network/etc/sysconfig/network/home/apache/conf/httpd.conf/home/apache2/conf/httpd.conf/home/bin/stable/apache/php.ini/home2/bin/stable/apache/php.ini/NetServer/bin/stable/apache/php.ini/opt/www/conf/httpd.conf/opt/www/htdocs/index.html/opt/www/htdocs/index.php/opt/xampp/etc/php.ini/PHP/php.ini/php/php.ini/php4/php.ini/php5/php.ini/root/.atftp_history/root/.bashrc/root/.bash_history/root/.mysql_history/root/.nano_history/root/.php_history/root/.profile/root/.ssh/authorized_keys/root/.ssh/identity/root/.ssh/identity.pub/root/.ssh/id_dsa/root/.ssh/id_dsa.pub/root/.ssh/id_rsa/root/.ssh/id_rsa.pub/root/anaconda-ks.cfg/tmp/apache/htdocs/index.html/tmp/apache/htdocs/index.php/usr/lib/php.ini/usr/lib/php/php.ini/usr/local/apache/conf/httpd.conf/usr/local/apache/conf/php.ini/usr/local/apache/htdocs/index.html/usr/local/apache/htdocs/index.php/usr/local/apache/logs/access.log/usr/local/apache/logs/access_log/usr/local/apache/logs/access_logaccess_log.old/usr/local/apache/logs/error.log/usr/local/apache/logs/error_log/usr/local/apache/logs/error_logerror_log.old/usr/local/apache2/conf/httpd.conf/usr/local/apache2/conf/php.ini/usr/local/apache2/htdocs/index.html/usr/local/apache2/htdocs/index.php/usr/local/cpanel/logs/usr/local/cpanel/logs/access_log/usr/local/cpanel/logs/error_log/usr/local/cpanel/logs/license_log/usr/local/cpanel/logs/login_log/usr/local/cpanel/logs/stats_log/usr/local/cpanel/logs/stats_log/usr/local/etc/php.ini/usr/local/httpd/conf/httpd.conf/usr/local/httpd2.2/htdocs/index.html/usr/local/httpd2.2/htdocs/index.php/usr/local/lib/php.ini/usr/local/mysql/bin/mysql/usr/local/mysql/my.cnf/usr/local/php/lib/php.ini/usr/local/php4/lib/php.ini/usr/local/php4/lib/php.ini/usr/local/php4/php.ini/usr/local/php5/etc/php.ini/usr/local/php5/lib/php.ini/usr/local/php5/php5.ini/usr/local/share/examples/php/php.ini/usr/local/share/examples/php4/php.ini/usr/local/tomcat5527/bin/version.sh/usr/local/Zend/etc/php.ini/usr/share/tomcat6/bin/startup.sh/usr/tomcat6/bin/startup.sh/var/apache2/config.inc/var/httpd/conf/httpd.conf/var/httpd/conf/php.ini/var/httpd/conf/php.ini/var/httpd/htdocs/index.html/var/httpd/htdocs/index.php/var/lib/mysql/my.cnf/var/lib/mysql/mysql/user.MYD/var/local/www/conf/httpd.conf/var/local/www/conf/php.ini/var/log/access.log/var/log/access_log/var/log/apache/access.log/var/log/apache/access_log/var/log/apache/error.log/var/log/apache/error_log/var/log/apache2/access.log/var/log/apache2/access_log/var/log/apache2/error.log/var/log/apache2/error_log/var/log/error.log/var/log/error_log/var/log/mysql.log/var/log/mysql/mysql-bin.log/var/log/mysql/mysql-slow.log/var/log/mysql/mysql.log/var/log/mysqlderror.log/var/mail/root/var/mysql.log/var/spool/cron/crontabs/root/var/spool/mail/root/var/www/conf/httpd.conf/var/www/htdocs/index.html/var/www/htdocs/index.php/var/www/index.html/var/www/index.php/var/www/logs/access.log/var/www/logs/access_log/var/www/logs/error.log/var/www/logs/error_log/web/conf/php.ini/www/conf/httpd.conf/www/htdocs/index.html/www/htdocs/index.php/www/php/php.ini/www/php4/php.ini/www/php5/php.ini/xampp/apache/bin/php.ini/xampp/apache/conf/httpd.confroot/.ssh/authorized_keysroot/.ssh/identityroot/.ssh/identity.pubroot/.ssh/id_dsaroot/.ssh/id_dsa.pubroot/.ssh/id_rsaroot/.ssh/id_rsa.pub

打开我的小bp,爆破一下

我的打野笔记-day3

丢到爆破模块,开始!

我的打野笔记-day3

这些都是可以拿到的(漏洞已经修复)

又水一个洞洞,看病去

我的打野笔记-day3

总结

实战中发现的一些姿势记录下来,方便以后来尝试。通过这次的挖掘让我明白了信息收集中子域名(子站)资产收集的重要性,正如一位名人所说:"泥煤的,主站打不下来,就去看相关资产,从侧面下手,可能会有一些发现"     --By:迪总  (迪哥讲的真不错

感谢各位师傅关注与支持,小F0R给大家准备了50个edu邀请码(此处感谢莫言师傅的支持!),后面文章发布还会继续发放50个edu平台邀请码等福利!希望大家都可以继续心中的白客梦,不断准求技术进步!

微信公众号回复:EDU邀请码 即可获取

EDUSRC

https://src.sjtu.edu.cn/

                                                    夜晚、秋风、落叶和我

原文始发于微信公众号(朱厌安全团队):我的打野笔记-day3

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月24日11:59:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   我的打野笔记-day3https://cn-sec.com/archives/1729661.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息