对朋友授权的博客网站进行一波渗透测试

破军安全实验室

0x00 前言

0x01 信息收集

看他群里得意的样子还觉得博客多牛逼，多安全，闲聊时候拿到域名

通过ping域名拿到IP地址，通过ttl初步判断是linux系统

通过ping地址判断无CDN

再次确实，他想尝试着被攻击的感觉

确认后对端口进行扫码一波，发现开放了21、22、80等端口

使用插件收取指纹信息，初步判断使用了vue、nginx、php编程语言

使用oneforall扫一下是否使用了子域名，没可用的东西

扫一下博客有没有敏感目录,啥也没有扫到

单一IP使用goby进行扫描，扫到一个ShopXOdownload 任意文件读取漏洞

0x02 漏洞验证

马上进行验证一波，但没有读出etc/passwd来，得到一些无聊路径，试着将 /url/xxxx 中的 base64加密的内容替换成替它路径如etc/shadow

改成base64编码也不行，应该是修复该漏洞了

不过也得到了室友的惊讶

这样肯定太丢脸了，于是挂上了awvs扫描了一波

扫到了一个sql注入，发到repeater验证一波好像是存在

直接上sqlmap验证一下，确实存在

拿到数据库表名

但说我看不了数据库

马上找他博客的账号密码

然后进他的博客登录一波

于是去博客网站登录，admin/观察者/神秘人的密码都解出来了，登录进去没有什么权限

看样子管理员使用的32位MD5加密

解密后进行登录，未登录成功，猜测使用了其他非对称加密技术，于是使用bp抓包进行替换，

果然进去了，现在可以删除他的文章了，然后发上自己文章（狗头）

但是我觉得这还不够，一定要拿到服务器的权限

--is-dba查看是否为管理员用户，可惜不是管理员用户

前面已经泄露了绝对路径www/wwwroot/cd_blog，印象中不具有管理员用户是不能写一句话的，尝试着写入

首先--os-shell,使用默认路径

这里是自定义路径，在某些情况下你可能提前知道了网站的根路径，就可以选用2

权限不够

--sql-shell之后查看secure_file_priv的值为空

select @@secure_file_priv

NULL表示表示限制mysqld 不允许导入|导出，通过sql注入拿到webshell是无望了

后面我通过社工的工具生成了弱口令字典，然后去爆破了22端口，很遗憾，没有成功，当时过程忘了截图了

0x03 总结

当前用户具备文件读写权限函数secure_file_priv的值不为NULL，及允许数据导入导出有写权限的绝对路径