这个app网站,我们通过前期信息搜集和云悉扫描,判断出是辰光PHP客服系统
正好圈子里面有一位大神写过一个辰光CMS的审计,url如下
https://www.secquan.org/Discuss/1071471大佬太惨了,正好我有圈子账号,我们就一起浏览了一位圈子大神的的代码审计
我们上传的时候把文件后缀改成a.b.php就能够绕过上传(会代码审计的大佬太厉害了,可以去支持一下这位写文章的大佬)
访问如下路径,如果路径存在就是存在这个未授权上传漏洞
但是我们现在有个问题就是,就是在这个app网站上没有找到有上传点怎么办呢,我们就只好请教大佬,大佬给我们说可以自己写一个dom代码进行替换然后上传
然后我们就可以通过替换dom的方式构造一个自己的上传点,然后去上传一个php文件
选择一个文件,然后进行抓包修改文件为a.b.php
然后就是上传cmd.exe准备一顿操作,结果发现这个是Linux服务器
并且无法执行linux命令,可能是我太菜了也没找到原因
我们可以尝试创建一个php文件,然后里面的内容替换为大马文件,通过大马里面的nc反弹,反弹到我们的kali攻击机上去
一开始我们发现创建不了php文件,最后找到原因是这个php的文件名是十个随机生成的数字,我们随便写了个数字,里面粘贴上大马的源码
没办法只能先放弃提权去找config文件,找了半天也没找到什么东西,正当郁闷的时候,我们在config的同级目录下找到一个database文件,这个目录名就很有趣
点开一看
浏览到最后,我们看到了一个客服安装,打开一看是淘宝上面买的宝塔的CMS安装。
对于这里为什么会出现宝塔cms我也是有点懵,但是没办法死马当做活马医,查查试试再说
最后只找到一个网站,上面介绍说这个是root密码,至于加密方法没有告诉我们(估计肯定是特殊加密)
磨了半个小时还是没有找到密码的加密算法,然后我就去上课了(没办法作为学生课多)
最后应该是大佬爆破出了数据库密码,后续的wj调查或者什么我就没有参与了
完毕,越来越觉得自己菜,不过和大佬一起学习还是非常棒的。
本文由sias战队 任意投稿,由HACK之道编辑。
![针对某诈骗网站的渗透实战]( "针对某诈骗网站的渗透实战")
本文始发于微信公众号(HACK之道):针对某诈骗网站的渗透实战
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/176298.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论