用户
搜索
  • TA的每日心情
    奋斗
    2018-11-14 16:51
  • 签到天数: 317 天

    连续签到: 1 天

    [LV.8]以坛为家I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    11

    主题

    378

    帖子

    2936

    魔法币
    收听
    29
    粉丝
    136
    注册时间
    2015-10-19

    突出贡献春秋文阁核心白帽i春秋签约作者

    发表于 2017-3-2 18:06:56 50290055
    本帖最后由 独狼1927 于 2017-3-2 18:10 编辑

    image001.png
    Step 0
    实验环境
    操作机:Windows XP [172.16.11.2]
    目标网址:www.test.ichunqiu  [172.16.12.2]
    实验工具:中国菜刀
    实验目标:获取www.test.ichunqiu网站的FLAG信息,学习一些简单的提权方式。
    小i提示:
    在本次实验中,请注意实验工具、实验文件存放路径,不同的文件路径可能会出现不一样的实验结果。
    在实验环境中无法连接互联网,请使用您本地的网络环境。

    Step 1
    XDCMS
    首先利用注入漏洞获取用户名和密码;打开浏览器,输入网址,打开网站首页,点击页面上方的 [ 免费注册 ];

    image002.png

    进入注册页面后,依次填入表单内容;

    image003.png

    在提交之前,配置浏览器代理,操作步骤:[ 工具 ]-->[ Internet选项 ]-->[ 连接 ]-->[ 局域网设置 ]:

    image004.png

    打开神器进行抓包改包;工具路径:C:\Tools\抓包改包\Burp Suite\

    image005.png

    打开神器后,回到浏览器页面,点击 [ 注册 ];

    image006.png

    此时,BP抓包成功:

    image007.png

    注意POST参数中的username值,在该值后面加入exp:

    image008.png

    然后点击 [ Action ] 或者右键,在弹出的菜单中选择 [ Send to Repeater ]:

    image009.png

    待 [ Repeater ] 标签变色后,选择该选项卡,点击左侧请求页面的 [ GO ],右侧响应页面会爆出用户名和密码MD5值:

    image010.png

    把MD5值 [ 1be20cb2907edca1e4f55f375a5663f1] 扔到解密网站上,得到结果,顺便看到了加密方式:

    image011.png

    Step 2
    打开后台登录界面,准备挂马,后台用路径扫描工具一扫就出来了,这里就不截图了;

    image012.png

    输入得到的用户名和密码 [ xdcms121/xdcms212 ],成功登录后台:

    image013.png

    依次进入 [ 模块管理]-->[ 幻灯片管理 ]-->[ 管理幻灯 ]-->[编辑 ];

    image014.png

    进入编辑页面后,准备上传木马;在系统自带的图片中,随便选一张:

    image015.png

    选一张图片复制到桌面上,然后新建一个文本文档,里面写入一句话木马:

    image016.png

    (注意:一句话之前加空行)
    然后用cmd下的copy命令,将这两个文件合并成一个图片文件:
    [Bash shell] 纯文本查看 复制代码
    Copy Sunset.jpg/b + muma.txt/a result.jpg /y
     

    image017.png

    用记事本打开合成的图片文件,拉到最下面,可以看到木马已经加进去了;

    image018.png

    回到页面,点击上传幻灯片图片,将制作的木马图片上传上去:

    image019.png

    把图片路径复制下来,点击 [ 保存 ];

    image020.png

    Step 3
    利用文件包含连接菜刀;
    工具:中国菜刀,路径:C:\Tools\webshell\中国菜刀

    image021.png

    点击右键,选择 [ 添加 ],首先我们在地址栏中输入错误的路径,看看会出现什么结果:

    image022.png

    输入完成后,点击 [ 添加 ];

    image023.png

    双击后,显示如下结果,注意图示:

    image024.png

    我们发现,后面自动添加了/index.php,这样路径肯定是错的,用%00截断后面的附加值即可;在原路径的基础上,尾部添加%00即可;

    image025.png

    这次成功进入,得到旗标。

    image026.png

    最后说一下菜刀路径中的几个注意点:
    [HTML] 纯文本查看 复制代码
    [url]http://www.test.ichunqiu/index.php?m=../../uploadfile/image/2017........5030.jpg%00[/url]
      
    路径中的 m=?  c=?  f=?  这三个参数分别表示:模块,类,方法;具体位置在/system/function/global.inc.php文件中:
    [PHP] 纯文本查看 复制代码
    //接收参数
    $m=safe_replace(safe_html(isset($_GET["m"]))) ? safe_replace(safe_html($_GET["m"])) : "content";
    $c=safe_replace(safe_html(isset($_GET["c"]))) ? safe_replace(safe_html($_GET["c"])) : "index";
    $f=safe_replace(safe_html(isset($_GET["f"]))) ? safe_replace(safe_html($_GET["f"])) : "init";
    //判断模块是否存在
    if(!file_exists(MOD_PATH.$m)){
            showmsg(C('module_not_exist'),'/');
    }
    //判断类文件是否存在
    if(!file_exists(MOD_PATH.$m."/".$c.".php")){
            showmsg(C('class_not_exist'),'/');
    }
    include MOD_PATH.$m."/".$c.".php";   //调用类
    //判断类是否存在
    if(!class_exists($c)){
            showmsg(C('class_not_exist'),'/');
    }
    $p=new $c();  //实例化
    $p->$f();   //调用方法
    
    global.inc.php文件位置在根目录/system/function下,uploadfile直接在根目录下,所以得向上翻两级,也就是../../

    image027.png
    --END--
    ps:部分知识点的内容转自网络;路漫漫其修远兮,感谢小盆友们的帮助;
    Dareand the world always yields.


    本帖被以下淘专辑推荐:

    独狼1927 发表于 2017-9-12 10:22
    您重启实验环境,更换浏览器试试,如果依旧存在问题,向i春秋客服进行反馈,他们会及时帮您解决的。 ...

    乱码问题是编码格式问题,火狐不知道为什么到了那个界面默认使用了西方编码,调成中文就好了。
    我换成chrome,乱码问题没了,但是,走正常流程注册,最后返回如下: 捕获.PNG
    没有任何返回信息,走登录页面显示账号不存在,不知道问题出在哪了
    使用道具 举报 回复
    蓝玉轩 发表于 2017-9-24 17:31
    请问这个EXP是怎么得到的呢?另外这道题怎么使用SQLMAP呢,用SQLMAP扫描注册提交时burpsuite拦截的报文,始 ...

    注册和登录过程,使用burpsuite全程记录,之后爬行网站并主动扫描,可以得到注入点,根据burp的提示,选择sqlmap的注入参数,比如cookie注入需要--level 2,最好保存burp请求包,使用sqlmap的-r参数注入
    使用道具 举报 回复
    Xavier 发表于 2017-9-13 09:41
    乱码问题是编码格式问题,火狐不知道为什么到了那个界面默认使用了西方编码,调成中文就好了。
    我换成chr ...

    注意电话号码得数字,我也遇到过这种情况,将页面该输入的全输入,并且电话号码纯数字,就注册成功了。
    使用道具 举报 回复
    发表于 2017-10-25 20:17:44
    shadow15 发表于 2017-10-5 05:53
    注册和登录过程,使用burpsuite全程记录,之后爬行网站并主动扫描,可以得到注入点,根据burp的提示,选 ...

    burp找到的注入点的请求包都用sqlmap跑了,都跑不出有注入,这是啥情况
    使用道具 举报 回复
    Xavier 发表于 2017-9-11 17:42
    求表哥求教,这个问题怎么解决啊。即便是走正常注册流程,也返回这个 ...

    您重启实验环境,更换浏览器试试,如果依旧存在问题,向i春秋客服进行反馈,他们会及时帮您解决的。
    使用道具 举报 回复
    huo61072 发表于 2017-8-29 15:40
    狼头你最后的上传图片路径好像确实有问题哦,我也是出现了路径没更新的情况,但用burp抓包,查看返回内容可 ...

    感谢反馈,有时间了我核查一下。
    使用道具 举报 回复
    Xavier 发表于 2017-9-13 09:41
    乱码问题是编码格式问题,火狐不知道为什么到了那个界面默认使用了西方编码,调成中文就好了。
    我换成chr ...

    您再试试IE浏览器,说不定就好了呢~~
    使用道具 举报 回复
    1520981318 发表于 2017-5-5 18:59
    为什么sqlmap扫不出来用户名和密码

    也许是注入点的问题吧,不同的注入点权限不同,或者存在即使都是报错类型,也可能无法获取数据
    使用道具 举报 回复
    发表于 2017-3-3 09:52:16
    沙发,火钳刘明。
    御剑乘风来,除魔天地间,
                                          有酒乐逍遥,无酒我亦颠。
    一饮尽江河,再饮吞日月,
                                          千杯醉不倒,唯我酒剑仙。
    使用道具 举报 回复
    发表于 2017-3-5 15:25:14
    图片上传不上去怎么办
    使用道具 举报 回复
    发表于 2017-3-7 10:12:04
    kyosec 发表于 2017-3-5 15:25
    图片上传不上去怎么办

    可能是一句话写入有问题,按照文中所示方法再试试。
    使用道具 举报 回复
    发表于 2017-3-7 10:12:32

       
    使用道具 举报 回复
    发表于 2017-3-12 12:03:54
    请问后面加exp:是什么意思  加的是什么东西 ,小白求解
    使用道具 举报 回复
    发表于 2017-3-13 09:28:34
    一脸蒙 发表于 2017-3-12 12:03
    请问后面加exp:是什么意思  加的是什么东西 ,小白求解

    exp:漏洞利用。
    使用道具 举报 回复
    发表于 2017-3-15 19:29:15
    做不通,,,一直连接不上菜刀啊。。。。。%00     就是连接不上啊
    使用道具 举报 回复
    狼叔请问那个exp是你自己写的还是网上找的?能解释一下这个exp的意思吗?
    使用道具 举报 回复
    那个中国菜刀中的地址好像要改一下,改成《%00》,我试了一下连成功了,但不知道原因。。
    使用道具 举报 回复
    %00
    使用道具 举报 回复
    在网上搜了一下XDCMS的登陆默认账号密码是XDcms,XDcms,在、也可以在里面上传图片
    使用道具 举报 回复
    发表于 2017-4-16 14:50:14
    上传图片不成功
    使用道具 举报 回复
    看那样子已经00截断成功了,但是菜刀连不上,好奇怪
    使用道具 举报 回复
    为什么sqlmap扫不出来用户名和密码
    使用道具 举报 回复
    1234下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册