目标域名:http://106.54.65.253
信息收集部分:
如果防护严的话,就只能买台上海地区的腾讯云服务器搞了。
中间件:apache
操作系统:windows
Robots.txt:存在
开放端口:利用fofa插件搜集一波,nmap搜集到135、139、445是filtered状态
访问disallow文件:
CMS:织梦(v57 sp2)
脚本语言:php(7.3.4)
织梦默认后台地址:/dede/login.php(访问一下,没问题,后台地址未被修改)
访问后台:
漏洞探测:
后台爆破 (admin 123456 密码错误)
后台帐号密码:admin admin
文件管理器存在任意文件上传
图里面的webshell.php和test.php都是我上传的大马。
为什么不是先传小马呢?
因为一开始我已尝试了小马,菜刀链接时显示200ok就断掉了,至于什么原因导致的,我还没整明白。(提问???????给阿浪)
但是大马为什么成功?
我也就是想都尝试一下,看看运气。
为什么上传两个大马?
test.php有个搜索文件的功能,有利于我们找falg,但是这个大马查看文件的时候会403(所以用了webshell.php打包系统文件下载下来,进行查看),这个大马还有执行系统函数的模块,但是很明显执行不了,为什么?我看了一下phpinfo的信息。如下图:
再来看看上传后的大马:
test.php:搜索flag.txt,整个C盘确实就搜到这么一个flag.txt文件。
登录webshell大马:admin
打包flag.txt,base64解密一下即可。
代码执行漏洞
先访问http://106.54.65.253/dede/tpl.php?action=upload获取token值
再访问:
http://106.54.65.253/dede/tpl.php?filename=asusua.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=7aa9fba7ce14a6a2ab33edd1aaab33e2
返回结果,创建asusual.lib.php成功,这里写入的是一个phpinfo文件,如果后台没爆破出来,可以以这个漏洞作为切入点。
访问一下创建成功的asusual.php文件:
爆破3389:15分钟无果,暂时不搞了(ftp也是)。
后面我又下载了一下网站相关配置文件:mysql—test:testtest。本来想下载SAM文件,离线爆破一下密码的,结果拉下来0KB?
以下搜集一点点内网信息:打包windows服务器上的远程连接日志,可以获取内网中连接3389到网站服务器的主机IP信息:
Webshell.php下载改文件查看内容:
ip为10.53.69.68 不找这些了,服务器都没上去,要这些也没用。
445那个端口,没公网环境,不会端口转发,还没尝试搞。
Mad重新写的,周日写的不小心电脑重装了,没留存,难搞!!
南方培训第二期的学生流程,总的来讲思路清晰不错,还需要更加的努力哦,加油。
本文始发于微信公众号(谢公子学安全):第二次实战演习记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论