用户
搜索

[思路/技术] 一个新人小白的报到

该用户从未签到

i春秋-见习白帽

Rank: 3Rank: 3

3

主题

41

帖子

140

魔法币
收听
1
粉丝
0
注册时间
2018-8-9
发表于 2019-3-7 14:59:59 05469
1.对emlog网站的一次简单测试
(技术水平低,大佬勿喷,只是简单的分享)
   
刚刚上完一门通讯原理的课程,实在无聊,想起了前天的一个emlog网站。网站首页就不发了,首先找后台,直接在网站后面加一个admin/,就直接跳转到登录界面

   

网站后台

网站后台

习惯了上来就是常规弱口令查看,admin,admin,提示用户不存咋。想了想准备用burp的字典撞,但发现top100的用户都不存在,但觉得既然是个人博客,站长用户名应该不会设置很复杂,决定尝试站长的名称简写合网站域名,测试了一波之后发现,将网站域名www.xxx.cn,xxx输入进去,出现密码错误。看来有戏。

火狐截图_2019-03-07T03-32-29.859Z.png

看来猜想正确,用户就是xxx,那密码应该也是差不多的,直接在域名xxx后面加一下字母,或者数字,开始匹配密码xxx12,xxx123,像这样生成多个密码,开始burp测试,发现xx123就直接进了后台


火狐截图_2019-03-07T02-41-30.530Z.png

emlog 后台拿shell,有备份数据库写shell,然后倒入数据库可以拿shell,还有下载emlog插件,模板在里面加上自己的一句话木马上传可以拿shell,目前只有这两种思路,为了保证能够可以一次拿shell,自己本地打了emlog的环境,用备份数据库拿shell,比较直接。但有一点鸡肋,如果不知道网站的路径,就无法写入shell重点来了

在emlog <= 5.1.2中的admin/index.php里面

                     phpinfo()                     

                        if ($action == 'phpinfo') {                                 

                                @phpinfo() OR emMsg("phpinfo函数被禁用!");



3.png



本地测试一波,利用这个漏洞,很顺利的读取了网站的绝对路径,先将数据库备份到本地,写入如下shell后,再上传sql文件



             5.PNG
本以为这样就可以拿到shell,但页面返回没有权限,有点失望,但没关系我们还有其他两种方法,决定上传插件,为了防止意外发生(技术比较菜),也本地试了一下,emlog插   件上传的路径是 content/plugins.
  到官网下载了一个插件,把一句话木马放进去,
捕获.PNG
上传成功后,用之前的phpinfo得来的路径加上插件路径。用蚁剑连接

成功getshell。

(第一次写,有点啰嗦,排版有点乱,属于小白级别的操作,大佬勿喷啊)

最后打个小广告,如果有想参加安全培训的小伙伴,可以来异空间安全,有需要,可以联系我们的雨幕大大。

Screenshot_20190307-143852.jpg


发新帖
您需要登录后才可以回帖 登录 | 立即注册