一次真实渗透测试中代码审计getshell
2022-8-11 10:11:52 Author: 渗透安全团队(查看原文) 阅读量:29 收藏

信息搜集:

用dirsearch进行扫描查看目录:


这里发现有git源码泄露,还有一些敏感目录

  • /.login

  • /phpmyadmin

  • /robots.txt

用nmap对端口进行探测

发现开放ssh 22 端口,ftp 21 端口等端口

浏览网站前台发现两个登陆点

登陆点A:

登陆点B:

登陆点A是扫描目录中的/.login,登陆处没有验证码,可以尝试爆破

登陆点B在子域中,对账号密码都有一定的格式要求

寻找注入点

挂上BurpSuite,浏览网站,找参数提交的点

算上之前的登陆一共找到了4个参数提交点

各种尝试:

网站存在.git 源码泄露 把网站的源码拖下来

大概的看了一下,应该是一个thinkphp框架改的,然后有一些数据库的信息,但是没什么用。

尝试以利用数据库的信息对登陆点B进行登录,失败。再对ssh和登录点A进行爆破,失败。继续下一个点。

分别对4个点进行SQL注入测试,其中只有1个点发生报错:

应该是thinkphp的框架错误,出现了网站的绝对路径。对网站的所有可能存在漏洞进行了探测,均无结果,只能回去老老实实的审代码。

代码审计:

先看application根据代码中的路由规则访问系统,发现基本都失效了,应该是旧系统源码。硬着头皮看,看看能不能找到数据库的连接密码,从phpmyadmin来getshell。打开application就发现了一个config文件夹:

有config.php和database.php,但是都没有数据库的连接密码,无法从phpmyadmin进入数据库。然后就是一顿代码审计,并没有发现什么有用的信息。

再看看assert里面有一个编辑器ckeditor:

进入该目录发现了还有一个kcfinder,这个可以在web端进行访问:

现可以上传.htaccess但是我们上传上去的文件还是不被解析,很奇怪,猜测应该外层还有一个.htaccess文件,使得我们的.htaccess未生效。在本地进行一下测试:

果然在外层存在一个.htaccess,这个地方的上传应该没办法了。

继续代码审计,找到了一个imageuploader:

尝试访问:

这次先开代码在进行测试,免得无用功。在pluginconfig.php发现了一些很有意思的东西。这个点并没有连接数据库,账号秘密直接写到文件中的:

获得了账号密码进行登录,再次发现上传点:

很可惜的是这里的上传点是白名单,无法通过上传进行getshell。

继续去代码审计,还是pluginconfig.php发现了一个fwrite函数,并且这个地方并没有什么过滤,可以写入东西到pluginconfig.php文件中(后面才发现这个网上好像有这个洞 https://visat.me/security/cve-2019-19502/,大意了)

$newpath可控,但是被"''"所包裹,如果尝试闭合会被转义, 这个地方可以通过花括号来绕过,构造payload:newpath=${${eval($_POST[123])}}

OK,没有问题,现在在网站上进行写入

写入成功,先在尝试蚁剑进行连接

连接成功,点到为止。

作者:ascii****

原文链接:https://xz.aliyun.com/t/9152

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

星球的最近主题和星球内部工具一些展示

欢迎加入星球!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247490097&idx=1&sn=8463ce10266fcf55c42aeb75f83468de&chksm=c175e79ef6026e88a3c4925398e8f9374c0c2646f56f2024085447f6ca1ca15a71ac364debe2#rd
如有侵权请联系:admin#unsafe.sh