记一次无意的渗透测试

由于最近再写一个web漏洞扫描器,准备在fofa上找网站测试的时候,无意间看到了个标题,xx系统,


点进去一看,好家伙,这不就是我很收悉的,那个xxcms嘛(具体的忘记了)

正好通过这个网站的cms漏洞,测试下我的扫描器,结果,好家伙,这一扫,cms漏洞没扫出来源码倒是给我扫出来了,发现备份文件了

这网站的备份文件,居然放在主目录下,以域名加.tar.gz结尾

好家伙,这一拿到源码一看,审计下,发现看不来,看不了,这是一个二次开发的框架,把基本上公开的漏洞都给补了,不过数据库账号密码拿到了,不过限制了外链

代码审计这块看来是没希望了,哎,人又菜,又爱渗透,那咋办呢?

答案,当然是找大佬了,

Emmm,好像我没有大佬带我/(ㄒoㄒ)/~~

既然,没人疼,没人爱,那就搞旁站

登录,fofa找下旁站,这查不知道到啊一查吓一跳啊,好多站点啊,都再一个服务器,域名真多


这个应该是官网了,官网是个,月子会所的主页,进入会所,看样子好像是深圳那边比较有名的月子会所吧,我也不清楚

啥也不管先看看,这个网站怎么样?扫描器一起一波,发现是dedecms5.7
后台扫不出来
Emmm,这尼玛就烦了呀,然后再找下看有没有备份文件
一看,没有,通过上面的规律找备份文件,发现没得,

我想是不是哪里有问题,突然灵光一闪,dedecms好像有个爆绝对路径的漏洞呀,搞起,

原来,这个站点改了域名,通过原来的文件名加后缀,获取备份文件

好家伙,这一看源代码,引入眼帘的一个文件夹名字,好吸引人啊,
@)!^hssjORG$$$
这一串字符恐怖如斯啊┌(。Д。)┐

怪不得我爆破不到站点后台,这尼玛,这谁爆破的出来啊,特殊字符和大小写字母,我只能说一个字,牛,看来这个服务器应该是找人运维过,维护过吧

这次源码没啥好审计的,我没有0day

这次里面还有sql的备份,找到了admin账号密码,去头去尾,md5解密,没戏

哦豁,完蛋,又没得了,下一个

下一个网站也上一样的,dedecms5.7

不过,希望来了,这个站点有phpadmin
这就有戏了呀

phpadmin,数据库账号密码,绝对路径
这不妥妥的getshell,三件条准备好啦,这不拿下?

结果,自然没话说,这通过mysql日志getshell,不成功,可能是宝塔给拦下来了,日志显示不正常,,不知道为什么?


好的吧,是我太天真了

等等,我好像忘记了啥。。。后台呀!还是那句话,只要思想不滑坡,办法总比困难多!

既然密码解不出来,那就改密码,都有数据root权限了,还怕啥,直接干,就完了!


直接上后台,

系统这么就没更新了,点击文件管理,试试看能不能上次文件


啊,我大意了啊,没有闪,太快了,我截图都没截上就上传好了

渗透到这里我以为,就这,就这,这尼玛,这一下就没了?这也太简单了吧?
这该死的臭运气选手啊。(●ˇ∀ˇ●)

果然,我高兴的太早了,当我上传给冰蝎免杀马上去,结果,返回正常,但是不能执行命令,文件也获取不到,这。。。。问题又来了啊

这八成是disable_functions把函数全给禁了

好吧,既然禁止,那就绕吧
到网上看了下,找到大概绕过disable_functions这几种办法,还有大佬有别的想法的可以留言哈,多多交流
• 常规绕过:exec,shell_exec,system,passthru,popen,proc_open
• 利用环境变量LD_PRELOAD绕过mail,imap_mail,error_log,mb_send_mail
• 利用pcntl_exec绕过利用imap_open函数任意命令执行(CVE-2018-19518)
• 利用系统组件window com绕过利用Apache+mod_cgi+.htaccess
• 绕过利用ImageMagick漏洞绕过利用PHP7.4的FFI绕过利用 ShellShock绕过(CVE-2014-6271)
• 蚁剑插件

我应为懒,就直接上蚁剑插件了,这边还个小插曲,因为这个站是php5,绕不过,只能提权另一个php7的旁站,才绕过disable_functions执行命令

这个服务器上,还有很多很多站点,我没发现,我去,

最后提权,提权时遇到个问题,gcc编译时报错,这是什么原因啊?有那位大佬带带我啊。
不管编译啥文件,都是报这个错误

最后的最后做了个博客,kosakd.top
还请大佬带带弟弟

本文来源于: https://xz.aliyun.com/t/9364

相关推荐

Apache OFBiz RMI反序列化远程代码执行漏洞(CVE-2021-26295)

Author: 析安实验室(ZionLab) 漏洞分析 官网获取最新版本 https://ofbiz.apache.org/download.html 发现新版本对 .\framework\base\src\main\java\org\ap

fofa爬虫 + 源码泄露PoC之梦幻联动(有福利)

写在前面 相信大家一定对源码泄露并不陌生,这里也不赘述这个漏洞的原理和危害了,网上一搜也都有好多好多,看都看不完~~~ 那今天这里我们讲啥呢?那就直入主题吧~今天这里我就贴出我自己参考的加上自己写的fofa爬虫 + 源码泄露PoC之梦幻联动

PHP的无参数RCE

PHP无参数RCE 因为先前只是参照大佬的payload解题,从未自己本地复现过,索性借复习的机会,在本地搭建并尝试。 题目: GXYCTF2019—禁止套娃 [极客大挑战 2020]Roamphp4-Rceme 限制条件: /[^\W]+

记某CMS漏洞getshell

记极致CMS漏洞getshell 今天下午比较空闲,就去搜索一些cms,突然对极致CMS感兴趣,而网上已经有一些文章对它进行分析利用,sql注入,xss,后台修改上传后缀名前台getshell等等。 于是就引起了我的兴趣想去测试一下。 信息

CVE-2016-0165 Win32k漏洞分析笔记

CVE-2016-0165 是一个典型的整数上溢漏洞,由于在 win32k!RGNMEMOBJ::vCreate 函数中分配内核池内存块前没有对计算的内存块大小参数进行溢出校验,导致函数有分配到远小于所期望大小的内存块的可能性。而函数本身并

ThinkPHP5.x RCE 复现

ThinkPHP5.x RCE 复现 其实去年开始是复现过这个漏洞的,但是总觉得并没有吃透,分析写得漏洞百出,于是再来审计一遍。 漏洞影响范围 5.x < 5.1.31 5.x < 5.0.23 复现环境 php7.3 thinkphp5.

FastAdmin前台文件上传

漏洞通告 FastAdmin是一款基于ThinkPHP和Bootstrap的极速后台开发框架。 2021年3月28日,360漏洞云漏洞研究员发现,FastAdmin框架存在有条件RCE漏洞,当攻击者具有一定用户权限的前提下,可以实现任意文件

draytek漏洞分析

分析复现一下几个draytek的漏洞 1.CVE-2020-8515 漏洞描述如下: DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta, and Vigor300B 1.3.3_Beta,

ELK在渗透测试中的利用与安全配置解析

通过此文章,我将提供有关ELK在攻击利用与安全防护。关于利用ELK 的信息在网上非常罕见。因此,这篇文章只是本人在日常工作和学习中的个人笔记,虽不完善,但可作为学习参考。通过这篇文章希望能为你提供一些在渗透测试期间可能有用的方法。 背景 E

记一次简单的审计

前言 上次在逛先知的时候,无意间看到了L4zily师傅的这篇文章:https://xz.aliyun.com/t/9114 ,所以有了这篇,该版本为金微手机商城 V0.3.8版本 正题 我们直接去官方搭建的演示站,直接访问/admin.ph

TP5 漏洞分析

RCE1 影响版本 TP 5.0.7 - 5.0.24 TP 5.1.0 - 5.1.30 payload 5.0 ?s=index/think\config/get&name=database.username // 获取配置信息 ?s=