一个IP Getshll
2023-11-27 13:53:0 Author: WIN哥学安全(查看原文) 阅读量:16 收藏

免责声明

本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。

开局只有一个IP

收集:

thinkphp 3.1.3 + iis 7.5 + php 5.4.28 + Windows Server 2008 R2

域名

通过ip得到很多子域,访问那些子域可以判断出都是同一个系统上的,主域为:9xx9.cn

域名备案主体:广州市xxx有限公司

主体备案域名还包含:

www.xx.com
www.xx.com.cn
www.xx.com.cn
www.cbxxxa.com
www.rxxea.cn
www.cxx8.com.cn
www.zxx8.cn

还有一个域名:gxxt.xxx.com ==> 这里后面随便输入什么都可以报错查看到路径 d:\wwwroot\gxxt\wwwroot

通过oneforall访问子域,都是502,并且使用gotocdn

https证书指纹:d660e0cab888acxxxxxxxxxxxxxxxa117fbb3af5e43b

Subject DN CN=uk.xx.cn ==> 绝对路径: d:\wwwroot\xx\wwwroot

目录

/about
/contact
/app
/public
/Login/login

深挖/app 无果

/public/ueditor/可以访问到ueditor编辑器版本为1.4.3

访问about得到报错绝对路径 d:\wwwroot\wwww\wwwroot

并且得到thinkphp 3.1.3

也得到了后台地址/Login/login

全端口

21 ftp
80
443
3306 Mysql-5.1.71
33890 远程桌面

nmap -T4 -A -v -p-

waf

在尝试注入的时候发现存在 waf - 云网盾

漏洞测试

通过以上的信息收集,联想到以下可以操作的攻击手段

1、thinkphp 3.1.3历史漏洞复现

2、ueditor 1.4.3历史漏洞复现

3、后台爆破(验证码不刷新)

4、ftp、mysql、rdp爆破

首先复现ueditor

ueditor 1.4.3 php版本无法getshell,漏洞是存在net的 .net可以任意文件上传
后面找到网上说php相应的版本也有文件上传,打了一下看见无法加载public
上传也是白名单也无法绕过

这里可以复现ssrf,但是是云主机,作用不大
http://103.xx.xx.99/public//ueditor/php/controller.php?action=catchimage&source[]=https://www.baidu.com/img/baidu_jgylogo3.gif

uk.9xx9.cn

后面想起还有uk这个子域,打开这个网站,主页空白,扫描到一个登录后台

所以继续对uk这个子域做了信息收集

然后发现通过uk这个域名扫描目录得到phpinfo和备份源码文件wwwroot.rar

phpinfo.php
wwwroot.rar

数据库账密

通过源码查询到数据库账密并成功登陆,但发现password是未知加密,通过数据库的账号密码撞远程桌面,被限制了,输入错误的密码显示错误,所以推测这个账密应该是对的

地址:103.xx.xx.99:33890
账号:uxxcx
密码:m4r2j6B4

后台账密

虽然是未知加密,但是现在有了源码,通过源码发现是自己写的加密方式,然后本地搭建,将加密类注释掉 直接使用明文传输,我本地修改成明文,成功登陆后台


并且发现zyx的明文密码:zy8 也就是 s=N=2AubkV2aZ2maam2Za2VkbuA2=N=s 等于 zy8 ,之后的话可以在目标站的数据库中修改成这个密码并登陆

但是本地发现可以把密码恢复回去后台没有被退出,还可以直接看到明文密码,就得到管理员dengdengdeng的密码:jo****38

账号:zyx
密码:zy****8

账号:dengdengdeng
密码:jo****8

Getshell

审查了一下源码,发现虽然是白名单 但是是通过MIME来判断的,所以通过本地复现 上传文件处直接上传php然后将 Content-Type的application/octet-stream修改成image/jpg就行,然后就直接成功Getshell,这里以phpinfo来展示

信息收集 ==> 突破口:https证书 找到了子域名uk ==> 目录 ==> 扫描到备份文件

==> 先查找config配置文件 ==> 注释加密类(绕过加密) ==> 代审 ==> 文件上传getshell(MIME绕过)

来源: G3et's Blog


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247495087&idx=1&sn=5b6d7e7b00a73361a0e3687a1b892f66&chksm=c0c84c5bf7bfc54d7b621193cc395d5e162cc876dfe36f9686e2f9eb8e595b226d3043909974&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh