『红蓝对抗』记一次攻防演练

点击蓝字

关注我们

---

日期：2022-03-07

作者：Obsidian

介绍：通过信息收集结合某cms的历史漏洞，拿下目标网站。

---

0x00 前言

最近接到了个某水利行业攻防演练的项目，打点过程异常艰难。

而且小区里的自动售水机总是出问题，水质差不说，还时不时的只扣钱不出水。

两两结合，导致心情异常烦躁。

某一天下楼打水，在售水机上看到了官网，正好是攻防演练中的目标，而且是搜索引擎中并没有找到的。

这不巧了吗这不是，天赐良机啊。

立即决定拿它开刀，以泄心头之恨，并且感受到了久违的快乐。

0x01 开整

首先通过楼下售水机的宣传图上，得到了官网：http://wwww.xxxx.com

网站看起来是比较老了，但是也没有什么版本信息。

随手扫个目录，发现存在robots.txt 和 /member/login.asp。

访问一下 /member/login.asp，发现是用户登录和注册的页面，并没有发现可利用的点。

但是有个地方显示出了cms类型，是Aspcms。

继续访问一下robots.txt，居然就这么轻易的得到了后台路径？

果然没有这么简单，robots.txt里面的后台，是假的，是404。

基本信息收集完，就开始谷歌一下历史漏洞吧。

这期间尝试了多个注入漏洞以及getshell的漏洞，均无收获。

但是功夫不负有心人，Aspcms的曾经版本存在敏感信息泄露漏洞，可通过特定的url访问，直接跳转到后台管理页面。

例如：

访问http://www.xxx.com/plug/oem/Asp_OEMFun.asp

会直接跳转到真正的后台地址。

访问真正的后台，果然版本很老，是2014年的老家伙了。

跑了一下弱口令，也没有结果。

只能继续问问神奇海螺。

Aspcms的曾经版本存在越权注册漏洞，可通过构造特定的数据包，直接注册管理员用户。

正好之前找到了注册的页面，构造如下数据包。

之后，成功登录。

0x02 后续

根据历史漏洞，尝试通过备份数据库来getshell。

这个版本的aspcms，数据库备份文件格式为asp

只要插入著名的一句话： ┼攠數畣整爠煥敵瑳∨≡┩愾

访问该asp即可得到webshell

但是在之后备份数据库，并且访问数据库备份的asp文件时，产生了错误。

总归也不是特别重要的靶标系统，于是就打算到此为止了。

但是在准备提交漏洞的时候，再次访问网站时发现了这个。

看来是有人在竞争啊，而且还把人家的站搞崩了。但是根据这个错误信息，可以发现，明显是要在配置文件中插入一句话。

在多次查找后发现，可通过修改幻灯片样式的数据包，在slidestyle参数插入一句话木马。

但由于环境和时间受限，就没有继续下去。

整理报告，提交漏洞，得分走人。

0x03 总结

信息收集，真的很重要。

参考链接：

http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0161677

http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-091831

http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0161687

https://blog.51cto.com/846cc/1575039

免责声明：本文仅供安全研究与讨论之用，严禁用于非法用途，违者后果自负。

宸极实验室隶属山东九州信泰信息科技股份有限公司，致力于网络安全对抗技术研究，是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域，善于利用黑客视角发现和解决网络安全问题。

团队自成立以来，圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动，并积极参加各类网络安全竞赛，屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室，关注公众号，回复『招聘』，获取联系方式。

原文始发于微信公众号（宸极实验室）：『红蓝对抗』记一次攻防演练