破军安全实验室
本文约1300字,阅读约需4分钟。
0x00 前言
0x01 信息收集
看他群里得意的样子还觉得博客多牛逼,多安全,闲聊时候拿到域名
通过ping域名拿到IP地址,通过ttl初步判断是linux系统
通过ping地址判断无CDN
再次确实,他想尝试着被攻击的感觉
确认后对端口进行扫码一波,发现开放了21、22、80等端口
使用插件收取指纹信息,初步判断使用了vue、nginx、php编程语言
使用oneforall扫一下是否使用了子域名,没可用的东西
扫一下博客有没有敏感目录,啥也没有扫到
单一IP使用goby进行扫描,扫到一个ShopXOdownload 任意文件读取漏洞
0x02 漏洞验证
马上进行验证一波,但没有读出etc/passwd来,得到一些无聊路径,试着将 /url/xxxx 中的 base64加密的内容替换成替它路径如etc/shadow
改成base64编码也不行,应该是修复该漏洞了
不过也得到了室友的惊讶
这样肯定太丢脸了,于是挂上了awvs扫描了一波
扫到了一个sql注入,发到repeater验证一波好像是存在
直接上sqlmap验证一下,确实存在
拿到数据库表名
但说我看不了数据库
马上找他博客的账号密码
然后进他的博客登录一波
于是去博客网站登录,admin/观察者/神秘人的密码都解出来了,登录进去没有什么权限
看样子管理员使用的32位MD5加密
解密后进行登录,未登录成功,猜测使用了其他非对称加密技术,于是使用bp抓包进行替换,
果然进去了,现在可以删除他的文章了,然后发上自己文章(狗头)
但是我觉得这还不够,一定要拿到服务器的权限
--is-dba查看是否为管理员用户,可惜不是管理员用户
前面已经泄露了绝对路径www/wwwroot/cd_blog,印象中不具有管理员用户是不能写一句话的,尝试着写入
首先--os-shell,使用默认路径
这里是自定义路径,在某些情况下你可能提前知道了网站的根路径,就可以选用2
权限不够
--sql-shell之后查看secure_file_priv的值为空
select @@secure_file_priv
NULL表示表示限制mysqld 不允许导入|导出,通过sql注入拿到webshell是无望了
后面我通过社工的工具生成了弱口令字典,然后去爆破了22端口,很遗憾,没有成功,当时过程忘了截图了
0x03 总结
当前用户具备文件读写权限
函数secure_file_priv的值不为NULL,及允许数据导入导出
有写权限的绝对路径
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,破军安全实验室及文章作者不为此承担任何责任。
破军安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经破军安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
破军安全实验室
# 长按二维码 关注我们 #
原文始发于微信公众号(破军安全实验室):对朋友授权的博客网站进行一波渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论