信息收集
开局只有一个IP:103.xx.xx.99,基本信息如下:
thinkphp 3.1.3 + iis 7.5 + php 5.4.28 + Windows Server 2008 R2域名
通过ip得到很多子域,访问那些子域可以判断出都是同一个系统上的,主域为:9xx9.cn
www.xx.comwww.xx.com.cnwww.xx.com.cnwww.cbxxxa.comwww.rxxea.cnwww.cxx8.com.cnwww.zxx8.cn
还有一个域名:gxxt.xxx.com ==> 这里后面随便输入什么都可以报错查看到路径 d:wwwrootgxxtwwwroot
d660e0cab888acxxxxxxxxxxxxxxxa117fbb3af5e43bd:wwwrootxxwwwroot目录
/about/contact/app/public/Login/login
深挖 /app 无果,/public/ueditor/可以访问到ueditor编辑器版本为1.4.3
访问about得到报错绝对路径
d:wwwrootwwwwwwwroot全端口
nmap -T4 -A -v -p-21 ftp804433306 Mysql-5.1.7133890 远程桌面
waf
漏洞测试
thinkphp 3.1.3历史漏洞复现ueditor 1.4.3历史漏洞复现后台爆破(验证码不刷新)ftp、mysql、rdp爆破
首先复现ueditor
ueditor 1.4.3 php版本无法getshell,漏洞是存在net的 .net可以任意文件上传后面找到网上说php相应的版本也有文件上传,打了一下看见无法加载public上传也是白名单也无法绕过这里可以复现ssrf,但是是云主机,作用不大http://103.xx.xx.99/public//ueditor/php/controller.php?action=catchimage&source[]=https://www.baidu.com/img/baidu_jgylogo3.gif
uk.9xx9.cn
后面想起还有uk这个子域,打开这个网站,主页空白,扫描到一个登录后台
phpinfo.phpwwwroot.rar
数据库账密
通过源码查询到数据库账密并成功登陆,但发现password是未知加密,通过数据库的账号密码撞远程桌面,被限制了,输入错误的密码显示错误,所以推测这个账密应该是对的
地址:103.xx.xx.99:33890账号:uxxcx密码:m4r2j6B4
后台账密
虽然是未知加密,但是现在有了源码,通过源码发现是自己写的加密方式,然后本地搭建,将加密类注释掉 直接使用明文传输,我本地修改成明文,成功登陆后台
并且发现zyx的明文密码:zy8 也就是 s=N=2AubkV2aZ2maam2Za2VkbuA2=N=s 等于 zy8 ,之后的话可以在目标站的数据库中修改成这个密码并登陆
账号:zyx密码:zy****8账号:dengdengdeng密码:jo****8
Getshell
审查了一下源码,发现虽然是白名单 但是是通过MIME来判断的,所以通过本地复现 上传文件处直接上传php然后将 Content-Type的application/octet-stream修改成image/jpg就行,然后就直接成功Getshell,这里以phpinfo来展示
总结
信息收集 ==> 突破口:https证书 找到了子域名uk ==> 目录 ==> 扫描到备份文件 ==> 先查找config配置文件 ==> 注释加密类(绕过加密) ==> 代审 ==> 文件上传getshell(MIME绕过)
文章来源:G3et博客原文地址:https://www.g3et.cn/2023/ipgetshll
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):一个IP Geteshll
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论