记录一次色情网站渗透经历,通过挖掘后台未授权登录以及文件上传getshell拿下服务器
0x1
起因就是某群友发了一个截图给我,心想免费的vps又来了
0x2(信息收集)
经过了一些常规的信息收集获得了该目标ip,开放端口,app程序包,用的框架为thinkphp6.0.12,以及后台登录地址,开搞
0x3(失败的漏洞利用)
当时最有用的信息就是Thinkphp6.0.12,本想试试那个反序列化漏洞,但是没有成功(手工也试过了)
0x4 (找到未授权进入后台)
于是转战后台:后台挺简单的一个页面,但是没有找到注入,验证码也是没有问题的,无法爆破,但是从返回数据包中我看到一些比较敏感的信息
这是要给前后端分离的网站,我感觉多半有未授权之类的,立马去看看前端代码,发现惊喜
$(document).keydown(function (event) {
if (event.keyCode == 13) {
$("#loginadmin").click();
}
});
$("#loginadmin").click(function(){
//获取input表单的值
var adname=$("input[name='adname']").val();
var password=$("input[name='password']").val();
if(adname.length<1) {
layer.msg('管理员不能为空!',{offset: '150px' })
return false;
}
if(password.length<6){
layer.msg('密码不能小于六位数!',{offset: '150px' })
return false;
}
$.ajax({
type: "POST" ,
dateType: 'json' ,
url:"/admin/login/index.html",
data:$(".login_form").serialize(),
success: function(status){ //验证成功,进入后台
if(status.code==1){
layer.msg(status.msg,{offset: '150px' ,icon: 6},function() {
top.location="/admin/index/index.html" ;
});
}; //密码错误
if(status.code==2){
layer.msg(status.msg,{offset: '150px' });
var captcha_img=document.getElementById('captcha');
captcha_img.src="/captcha.html?" +Math.random();
$(".check").val('');
$(".password").val('');
} //管理员不存在
if(status.code==3){
layer.msg(status.msg,{offset: '150px' });
var captcha_img=document.getElementById('captcha');
captcha_img.src="/captcha.html?" +Math.random();
$(".check").val('');
$(".username").val('');
$(".password").val('');
} //验证码错误
if(status.code==4){
layer.msg(status.msg,{offset: '150px' });
var captcha_img=document.getElementById('captcha');
captcha_img.src="/captcha.html?" +Math.random();
$(".check").val('');
}
}
})
})
在这一段js代码中,清晰明了的逻辑,以及后端主页的地址,返回值为 1 就会跳转到后台,于是修改返回数据包 (这里可以直接访问后台地址)。
然后成功跳转后台,但是立马又跳转到登录页面,心想有机会,这次将burp全程一个一个包的放,当修改登录返回数据包的 code为 1 之后,会接着请求后台主页,并且后台主页的前端代码会成功返回,但是放过这个返回数据包后,浏览器还是没有渲染出页面,burp重放后接收的数据包也没有渲染出页面,好奇怪,猜测应该是有某个js代码导致的,于是我慢慢看那个后台的前端代码,发现了问题:
<script> window.location.href="/admin/login" </script>
就是因为这串代码,浏览器收到数据包后立马就去请求登录页面了,也就没有渲染页面,不管他,直接删了,成功进入后台页面,此时burp不能关,要不然还是会跳转到登录页面,之后的每一个数据包返回的数据都有那一串跳转到登录页的代码,都要删除。
0x5(文件上传getshell)
点击那个网站配置选项,出现了好东西,上传图片,本着试一试的想法,上马子
先来个一句话,成功,看来后端没有限制
但是某剑连不上,真奇怪
换哥斯拉,成功连接
0x6(尝试提权)
这个后台禁用了命令执行的函数,只有用哥斯拉的BypassDisableFunctions模块执行命令,先弹个sehll来耍耍,打开我的某某蛇,msf开个监听,哥斯拉PMeterpreter模块直接上线,但是不稳定,过一会就断了,后来经过师兄指点,还是用蛇生成木马上线来的稳定点
拿到稳定的shell之后,开始提权,不知道是我的操作有问题是运气不好,搞了半天,啥子脏牛提权,内核溢出,suid提权(条件不满足),能用的exp都用了,就是提不了,算了,以后用空再搞
0x7 (其他东西)
提不了权就看看有没有啥子有价值的东西,毕竟这是一个h网站
直接翻数据库,找到管理员密码,虽然没有什么用,但是可以试试撞其他地方的密码,MD5解密出来是一个弱密码,这要是能爆破,必成功呀
其他就没啥有用的东西了,真可惜,估计东西都在那个app里面
0x8 (总结)
攻击路径:网站路径扫描找到后台地址 -> 数据包+前端代码审计发现后台未授权登录 -> 后台文件上传getshell
如有侵权请联系:admin#unsafe.sh