九零»90WiKi - 90Sec Team --== 资料库==-- 账号审核 {Account audit} 对某站的渗透
返回列表

[【通过】] 对某站的渗透

[复制链接]
3ay0 发表于 2017-3-18 13:03:00 | 显示全部楼层 |阅读模式

乞丐|主题 |帖子 |积分 -3

本帖最后由 F0r3c0de 于 2017-3-18 13:04 编辑

URL:www.xxx.com
Windows 2003
Apache
Mysql
端口开放情况 有用的貌似只开了3306
先测试了下SQL注入
1.png
然后去后台试了下弱口令
2.png
无果
去看了下旁站
3.png
看起来像是同一套源代码。但是应该是版本问题  所以主站的没有注入
跑注入进后台
发现可以跨库查询  但是并没什么用  主要是拿主站的shell  所以同一套源代码进不进后台都一样
dump了user表
4.png
进后台看了下信息
5.png
有个SQL执行 但数据库用户不是root 也没绝对路径 所以先K了一边
6.png
上传那测试了可以上传php0 php4
7.png
但是不知道为啥 php4显示正常图片  我刹那间心都碎了几瓣
全都看了一边  还是没拿下  然后看了下做这cms的公司
通过非同服务器的其他cms拿到shell
看的www.aaa.com 跟xxx.com同一CMS  在旁站找到一个织梦
8.png
Apache能救人
写入了一句话 System权限  打包了aaa.com的源代码
开始蛋疼的审计
菜鸟用法师的源代码审计系统
一开始是想弄个命令执行的方式  但是没用那些函数
所以想了一下其他
$afile='ntao/php/'.$_GET['u'].'.php';
//执行请求
if(is_file($afile)){
define('maxup',ini_get('upload_max_filesize'));
define('copy','<div class="loca copy"><span>© 2006-'.date('Y').' 19net.cn</span></div>');
include_once($afile);
}
elseif(function_exists($_GET['u'])){
$_GET['u']();
}
else{
exit('Illegal argument');
}看了下这个文件包含
判断了/ntao/php/变量.php文件是否存在   可以通过../构造
9.png
但是Apache版本太高不支持00截断  所以放弃了

上传那些我都无视了 黑名单过滤
但是真如php0 php4这样都不解析

看了下fopen函数的
function rewrite_modify(){
$rule=stripslashes($_POST['rule']);
$dir=dirname($_POST['file']);
is_dir($dir) || mkdir($dir,0777,true);
file_put_contents($_POST['file'],$rule);
$re=file_get_contents($_POST['file'])==$rule?'修改成功!':'修改失败,文件不可写!';
header('content-type:text/html;charset=utf-8');
exit("<script>alert('$re');parent.ntao.closeCeng();</script>");
}直接把POST接收的参数保存成POST提交的文件名
但是不知道怎么调用这个函数  全局搜索了下  
在/ntao/php/rewrite.php文件下
<form action="?u=rewrite_modify" method="post" id="myform"> 也就是说可以通过 admin.php GET的action的参数

然后通过旁站的注入dump了主站的密码 登陆后台  因为admin.php验证了是否登陆
通过审计的写入
10.png
11.png


接下来就收工
望加入90大家庭一起学习  谢谢
多多指教  

评分

参与人数 1酒票 +5 收起 理由
管理05 + 5 欢迎加入90!

查看全部评分

回复

举报

vercher 发表于 2017-3-19 08:57:10 | 显示全部楼层

正式成员|主题 |帖子 |积分 197

66666666666666666
APACHE 咋救的?  
回复

举报

 楼主 3ay0 发表于 2017-3-19 10:58:04 | 显示全部楼层

乞丐|主题 |帖子 |积分 -3

RE: 对某站的渗透

vercher 发表于 2017-3-19 08:57
66666666666666666
APACHE 咋救的?

织梦远程写入install.php.bak是靠Apache解析成php   也就是IIS其他的这个后缀.bak访问可能就是会让你下载

回复

举报

vercher 发表于 2017-3-19 10:59:36 | 显示全部楼层

正式成员|主题 |帖子 |积分 197

RE: 对某站的渗透

F0r3c0de 发表于 2017-3-19 10:58
织梦远程写入install.php.bak是靠Apache解析成php   也就是IIS其他的这个后缀.bak访问可能就是会让你下载

666666666 明白了
回复

举报

pony 发表于 2017-3-20 10:56:51 | 显示全部楼层

正式成员|主题 |帖子 |积分 49

”文件上传之黑名单验证绕过“  楼主搜索一下
回复

举报

 楼主 3ay0 发表于 2017-3-20 11:18:32 | 显示全部楼层

乞丐|主题 |帖子 |积分 -3

RE: 对某站的渗透

pony 发表于 2017-3-20 10:56
”文件上传之黑名单验证绕过“  楼主搜索一下

这我黑盒测试的时候试了  不过php0当成文本解析 php4当成图。php3就上传不了。一开始是打算00截断包含图片的  但是apache版本不支持00截断

回复

举报

pony 发表于 2017-3-21 11:00:43 | 显示全部楼层

正式成员|主题 |帖子 |积分 49

RE: 对某站的渗透

F0r3c0de 发表于 2017-3-20 11:18
这我黑盒测试的时候试了  不过php0当成文本解析 php4当成图。php3就上传不了。一开始是打算00截断包含图片的  但是apache版本不支持00截断

.htaccess

AddTypeapplication/x-httpd-php     .jpg   


这个后缀限制了吗?


回复

举报

 楼主 3ay0 发表于 2017-3-21 13:56:52 | 显示全部楼层

乞丐|主题 |帖子 |积分 -3

RE: 对某站的渗透

pony 发表于 2017-3-21 11:00
.htaccessAddTypeapplication/x-httpd-php     .jpg   
这个后缀限制了吗?

.htaccess后缀在看源代码的时候是没被黑名单的,但是貌似重命名后就没多大用处了吧   
我也没留意
回复

举报

返回列表
快速回复 返回顶部 返回列表