本帖最后由 百里长苏 于 2015-12-7 23:43 编辑
E:\360data\Python27\SqlMap>pingwww.uwan.com 正在 Pingmain.cname.uwan.com [203.195.208.161] 具有 32 字节的数据: 来自 203.195.208.161 的回复: 字节=32 时间=290ms TTL=48 来自 203.195.208.161 的回复: 字节=32 时间=284ms TTL=48 来自 203.195.208.161 的回复: 字节=32 时间=285ms TTL=48 来自 203.195.208.161 的回复: 字节=32 时间=285ms TTL=48
203.195.208.161 的 Ping 统计信息: 数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失), 往返行程的估计时间(以毫秒为单位): 最短 = 284ms,最长 = 290ms,平均 = 286ms
子域名查询爆破 我就发一些旁注查到的域名好了
Rx.uwan.com doc.uwan.com w.uwan.com bto.uwan.com bbs.uwan.com
然后百度了一下 看看有没有什么敏感的后台 site:uwan.com login
第一个放弃了 我觉得 肯定搞不定 第二个 看了下 是dedecms 后台 试了几个默认密码万能密码 弱密码 都不行,放弃
后来又想起 一般企业 公司站一般 程序都是同一种 这样比较好管理 然后发现旁注下的二级域名中/robots.txt
果然是这程序 扫了下默认后台 不存在
zl.uwan.com/admin_uwan zl.uwan.com/zl_uwan.com 试了几个都不行 那就来个小程序跑一下 前面或者以zl uwan manage admin houtai相连接 比如zl.uwan.com/admin_uwan_manage、 为什么要这样做呢 因为很多站都是以这种形式的
旁注下所有域名都跑了一下 zl.uwan.com/manage_zl/ 功归于小程序 bbs.uwan.com/admincp.php 这就是默认discuz后台 r.uwan.com/gamedede功归于强大的扫描器 其中3个都是dedecms的 各种oday exp上去了都不行。 嗯。好吧 这次以社工为主把。 查了一下whois songhaibo 但是 一般遇到这种自己的域名的 一般我都会放弃 为什么呢。根本查不到任何资料
但是有这个姓名 我就去试试 这个密码对不对 也不行 试了几天 都不行------------------不行了 困死了 先丢给朋友搞一下 起床之后 还是没消息不管了 打开几个程序扫目录 扫端口 咦 发现目录下 有个cd.php 打开一看是空白页 失望! 不过下意识的右键查看源代码!!打开发现 是一串字符看起来像是base64 赶紧解密一下
卧槽!有phpmyadmin 后台地址和帐号
赶紧输入试一下 发现不对 换下位置也不对?! Tnnd。我是不是被骗了。。。 看了下phpmyadmin版本是2.8的 我记得某个朋友有个通杀的0day 发了他下十分钟后给了我帐号密码 我个激动啊 不过我想叫他给我列出所有的数据库帐号密码来着, 不过给我来了句 这点小站都拿不下 你可以去吃chi了 我这个火啊!居然鄙视我 我既然有了phpmyadmin 就可以拿下shell啊还用得着生气么?
但是并不是我想象的那么简单!
看了下表 几十个 - -
Md5 解密之后 进了后台系统
但是发现除了 我圈起来的 那几个之外其他的都点不动 刚开始觉得是浏览器问题 后来换了ie火狐 chrome 甚至safari - -好吧 还是点不动算你牛 还是直接导出一句话把 但是需要路径 site:uwan.com error site:uwan.com data/
/data/www/html/www.uwan.com/Api/ujsSecur.php select "< [email protected]($_POST['pass']);?>" into outfile ' /data/www/html/www.uwan.com/Api/1.txt';
应该是没权限导出的意思 再试也没用了 继续看表
怎么找都没有管理员帐号 后来想起 既然不可以导出那么可以查看代码么
想做就做
首先创建一个m1的表来查看代码 然后导出
Disucz 7.0.0 的配置文件
解开md5 上后台
试试 插入一句话
1.Ucenter插入一句话:3EST\\');eval($_POST[a])?>;// 2. 然后返回刚才插入地方,随便替换几个字母 3.连接文件是根目录下的 config.inc.php 但是不行 然后试试oldjun的那个自定义模板变量 变量中填: xxoo', '#999');eval($_POST[cmd]);//
但是不行 估摸着 漏洞早修复了 既然discuz 不行 为何我不试试dedecms呢?
LOAD DATA LOCAL INFILE '/data/www/html/zl.uwan.com/data/common.inc.php' INTO TABLE m1 fieldsterminated by ''; dedecms的配置文件
admin不可解密 后来直接把最后两个可以解密的md5 密文替换一下 顺便说一下 dedecms的密文必须除去前3个和后一位才能解密
进入后台一看 --阉割了好多---
找了很多地方 都没有可以getshell的地方
突然在卸载文件管理器的时候 发现一些端倪 发现可以列目录 但是只是目录而已 其他文件看不到 发现了主站的后台-试了下之前解密的帐号密码发现可以进入
但是此后台没什么可利用的地方 上传图片的过滤很严格基本没希望了
继续列目录 那些旁注所有的dedecms 的后台都拿到了帐号密码也通过读取配置文件读到的 但是每个后台都是阉割后的 没什么可利用的
在列列几个目录都不行 没什么好看的
第二天起来 发现我记得discuz uckey 可以getshell
Php.exe u.php 成功写入
让我激动的呀!不过发现已经有前辈来过了。 就在几天前!
=========================================
亮点没有突出,但是由于第二次申请,并且比较认真,故给予通过。
另外由于没有打码,因此设置阅读权限为实习成员才可以阅读。
| 
楼主
