记一次SSRF->getshell

这个是2个月前的项目,思路也是挺简单的,还是给兄弟们分享分享,首先还是常规的站点,我们进去看看

可以看见这个网站为thinkphp,当然,当时就很开心,因为自己打tp的站打的太多了,然后再进一步细看。

我们可以得知这个web站点的版本为tp3.2.3。当时的思路为如下。
第一,找xss,找到cookie找到后台,然后tp3.2.3缓存拿下
第二,找注入,出账号密码,进入后台,然后tp3.2.3缓存拿下。
第三,找登录日志,fuzzing出日志,然后拿到后台账号和密码,这三种思路
在找洞的过程中,并没有找到xss和sql注入,所以,我们这边就把思路锁定在了日志身上。然后成功fuzzing出我们的日志,但是却很失望,这个日志就是一些我们扫描器,或者探测sql的payload,丝毫没有半点用处,不过这个日志的位置兄弟们可以大概记一记。

现在只有一个思路,去后台,看看是不是弱口令。很遗憾不是,但是我却发现这个后台很奇怪,不像是tp的框架,敏锐的直觉告诉我,这个站应该是tp二次更改过的,给兄弟们看看网站后台。

然后更具经验习惯性的报错,然后成功的爆出了其版本号。

然后百度了一下,发现其为onethink的模板,然后在网上寻找公开的exp进攻,网上有2个,一个是注入,一个是ssrf,注入失败了,这里就不说了,还有一个就是ssrf。
然后这里说说我的思路,一般用ssrf去读一些配置文件,或者6379的redis,但是这台服务器不能读到有价值的东西,所以,目前的思路就是获取该服务器的真实IP,然后找旁站,将其拿下。
ok,思路理清,开始操作,首先在我的vps上监听,然后用exp打,最终成功的将目标的真实ip打过来了。

burp里的地址为ssrf payload的地址,我们成功将其的真实IP打过来。
然后IP反查,我用的微步,去掉反差错误的ip,总共有39个网站。

然后对这39个网站的后台进行弱口令测试,成功的测出一个弱口令,其实算强口令,密码为网站域名。
然后进入后台以后,在网上搜索exp,成功将其拿下。

最后跨到目标主站,成功将其拿下,此次任务结束。

本文来源于: https://xz.aliyun.com/t/9371

相关推荐

FastAdmin前台文件上传

漏洞通告 FastAdmin是一款基于ThinkPHP和Bootstrap的极速后台开发框架。 2021年3月28日,360漏洞云漏洞研究员发现,FastAdmin框架存在有条件RCE漏洞,当攻击者具有一定用户权限的前提下,可以实现任意文件

draytek漏洞分析

分析复现一下几个draytek的漏洞 1.CVE-2020-8515 漏洞描述如下: DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta, and Vigor300B 1.3.3_Beta,

ELK在渗透测试中的利用与安全配置解析

通过此文章,我将提供有关ELK在攻击利用与安全防护。关于利用ELK 的信息在网上非常罕见。因此,这篇文章只是本人在日常工作和学习中的个人笔记,虽不完善,但可作为学习参考。通过这篇文章希望能为你提供一些在渗透测试期间可能有用的方法。 背景 E

记一次简单的审计

前言 上次在逛先知的时候,无意间看到了L4zily师傅的这篇文章:https://xz.aliyun.com/t/9114 ,所以有了这篇,该版本为金微手机商城 V0.3.8版本 正题 我们直接去官方搭建的演示站,直接访问/admin.ph

TP5 漏洞分析

RCE1 影响版本 TP 5.0.7 - 5.0.24 TP 5.1.0 - 5.1.30 payload 5.0 ?s=index/think\config/get&name=database.username // 获取配置信息 ?s=

vulnstack红队一学习

环境搭建 配置网卡 编辑->虚拟网络编辑器 自定义为仅主机模式 配置win7网络 添加两块网卡,一块为VMnet1(仅主机模式),一块为VMnet8(net模式连通外网) 配置VMnet1网卡 (win7) DNS服务器是windows s

Hvv前排查分析

排查分析 这段时间陆陆续续开始hvv,而这里就简单的介绍一下hvv中对应急响应中可能存在问题进行介绍和分析。 windows排查分析 开机启动项 一般情况下,各个木马等恶意程序,都会在计算机开机的时候自动运行。 所以我们就需要排查一下win

内网渗透--对不出网目标的打法

文章简介 这篇文章使用红日渗透靶场(一)来进行练习对内网不出网机器的渗透,在这里感谢师傅们提供了现成的靶场环境,供我们小白来进行学习和练习。这个靶场设计的比较简单,但是通过这个靶场环境,采用多种手段进行渗透,可以使自己在没有那么多授权的真实

记一次完整的内网渗透经历

故事的起因比较简单,用三个字来概括吧:闲得慌。 因为主要还是想练习练习内网,所以用了最简单粗暴的方法去找寻找目标,利用fofa来批量了一波weblogic,不出一会便找到了目标。 简单的看了下机器环境,出网,没有杀软(后面发现实际是有一个很

JWT攻击学习

JSON Web Token(JWT)是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证 cookie /session /jwt 不同点 1.对于一般的cookie,如果我们的加密措施不当,很容易

常见横向移动与域控权限维持方法

横向移动 PTH 如果找到了某个用户的ntlm hash,就可以拿这个ntlm hash当作凭证进行远程登陆了 其中若hash加密方式是 rc4 ,那么就是pass the hash 若加密方式是aes key,那么就是pass the k