0x01 前言
在某个工作日收到客户发来的链接,说需要打点,然后就开始了这次的渗透路程。通过分析目标网站,发现其使用FastAdmin框架,且基于ThinkPHP5。利用该框架的前台漏洞,并通过修改请求UA,获取敏感信息。成功连接到MySQL数据库后,获得管理员账号,进一步探索后台,发现存在插件管理漏洞。最终通过代码编辑器上传木马文件,获得webshell,并成功连接至服务器,最终掌握网站控制权限。
末尾可领取挖洞资料文件
0x02 漏洞发现
用浏览器打开链接提示需要微信客户端访问(从链接分析为子域名,)一看就是对接某信公众号的服务,按思路来就是先收集一波信息,先简单用在线子域扫描了一下出现几个
访问主域名无内容
whois可用信息无
ping IP发现无CDN是某讯云,
然后再扫一下开放端口 发现有 21 888 3306 挨个尝试 唯独只有21端口有账号密码 爆破估计成功率并不高 ,888端口 是web服务 并无内容显示404 3306端口没有账号密码 难搞
唯独只有客户发来的这个链接有内容,可以尝试一下
https:// xx.xxxx.com/wechat/index/index
然后浏览器修改为微信UA,访问如下
可见四个导航栏 点击我的,需要登陆,查了一下cms指纹提示为 FastAdmin框架,fastadmin我记得有个前台getshell洞,然后我浏览器重新打开域名https:// xx.xxxx.com/删除后面部分(wechat/index/index)找到前台地址
可见有第三方登陆功能 但是没有开放,只能直接注册账号
注册完成后开始利用原来的前台getshell洞,其实这里只是抱着碰运气的状态
然后再某知找到一篇关于FastAdmin前台getshell文章 看有exp 直接download下来试试
然而并没有什么用
本以为这就结束了,结果换个思路 发现FastAdmin是基于ThinkPHP5 开发的,那么试试看看有没有开起debug模式 如果有的话就能存在敏感信息泄露,直接上刚刚注册用户的个人中心链接
https://xxx.xxxx.cn/index/user/index.html加个顿号试试(、)果然发现有东西
直接泄露网站绝对路径以及mysql账号信息,到这里感觉柳暗花明又一村了,结合刚刚扫描出IP开放的3306端口尝试用泄露的mysql配置信息连接试试
直接进去了现在进了数据库 但是不知道后台地址也没法 ,常用的后台地址都试了无果,就在此时突然看到有个fa_admin_log引起了我注意 这是记录管理员登陆的日志,打开一看果然,出现了管理员登陆url
发现有两个管理员显示管理员的实际上是不具备完全管理权限,destiny 具备最高权限
然后把数据表获取到的pasword md5解密,登陆刚刚发现的后台url
进入到后台就是找getshell的点 看了下网上说的FastAdmin后台getshell点在插件管理离线安装 Fileix文件管理器 ,然后上传一句话木马就可以getshell,但是很可惜失败了。
但是看到有个代码编辑器点击进去看到网站所有目录文件并可编辑
此时拿出godzilla(哥斯拉)生成shell代码 插入到网站文件中然后连接上
连上后权限为www
基本上目录可见,至此结束收工!
0x03 总结
最后总结,最终还是通过报错获取敏感信息,成功获得网站控制权限。喜欢的师傅可以点赞转发支持一下谢谢!
0x04
原文始发于微信公众号(渗透安全HackTwo):记一次某站运营环境的测试过程从信息泄露到Getshell|挖洞技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论