用户
搜索
  • TA的每日心情
    开心
    前天 18:01
  • 签到天数: 24 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-见习白帽

    Rank: 3Rank: 3

    2

    主题

    13

    帖子

    531

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-3-23
    发表于 2021-3-9 14:02:41 515829
    初探
    打开首页

    2275768-20210309112011283-1387033885.png

    简单信息收集:
    IP地址:美国加利福尼亚洛杉矶
    无CDN
    中间件:Nginx
    80端口直接突破,故未进行端口扫描
    渗透思路
    一般这种BC站点,有几种思路可以切入:

    1)通过SQL注入查到管理员账号密码,扫描后台地址,进入后台getshell
    这种BC站点一般是由thinkphp二次开发,很大概率会存在SQL注入
    2)前台图片上传,配合IIS7.5与Nginx低版本解析漏洞
    前台如果存在上传功能,此时可以寻找是否存在解析漏洞,直接利用解析漏洞getshell
    3)存储型XSS盲打,进后台getshell
    提交优惠申请,进行xss盲打,获取管理员cookie和后台路径,进后台getshell
    4)后台弱口令 && 后台getshell
    扫描到后台可以尝试弱口令爆破,爆破成功进入后台getshell

    简单代码审计
    通过fuzz测试,发现站点不存在SQL注入,也不存在解析漏洞,但是发现了后台路径 http://target.com/m/login/

    2.png

    后台限制了ip登录,伪造XFF ip为服务器ip可成功绕过:
    3.png

    此时我们可以爆破后台,或者通过前台XSS盲打来突破,幸运的是,我们目录扫描过程中发现了网站源码备份文件,因此我们选择优先审计源码

    源码比较简单,采用MVC框架编写,代码量也比较少,我们很快就发现了一处文件上传功能

    4.png

    可以看出该处文件上传限制不严,并且没有做权限校验,任何人都可以访问这个接口,因此我们可以通过本地构造上传表单来getshell

    构造上传表单:

    [AppleScript] 纯文本查看 复制代码
    <form enctype="multipart/form-data" action="http://target.com" method="post">  <input type="file" name="file" size="50"><br>  <input type="submit" value="Upload">  </form>


    上传图片马,抓包修改后缀为php

    5.png

    成功getshell

    5.5.png
    6.png

    disable_functions限制了执行函数,无法执行命令

    7.png 8.png

    这里使用蚁剑插件绕过

    9.png

    至此本次渗透告一段落
    欢迎关注我的个人公众号:黑客前沿
    实战bc的文章  大佬辛苦了
    使用道具 举报 回复
    学到了学到了
    使用道具 举报 回复
    发表于 2021-3-11 20:16:15
    学习了
    使用道具 举报 回复
    发表于 2021-3-12 15:22:42
    我欲将心向明月,奈何明月照沟渠。
                      天人照我本和兴,只是难易风化岩。
    使用道具 举报 回复
    发表于 2021-4-1 17:55:01
    加油啊~
    让我们一起干大事!
    有兴趣的表哥加村长QQ:780876774!
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册