🔩 实战 - Web | 旁站渗透拿下主站

  • Naykcin
  • 4 Minutes
  • January 5, 2020

🔩 实战 - Web | 旁站渗透拿下主站

🔌 0x00 前言

记录一次实战渗透,中间用到了社工技巧。。。🤣 先简单说下过程:

1)主站渗透
2)旁站渗透

📍 0x01 主站渗透

在某网站扫到一个上传点,但是上传按钮点不动,看下源码:

屏幕快照 2020-02-03 下午6.25.18

在本地改一下前端代码,上传一句话木马。

屏幕快照 2020-02-03 下午6.37.25

但是目标网站对文件类型有白名单限制,上传失败。

屏幕快照 2020-02-03 下午6.32.27

换个思路,开始进行其他尝试,dirsearch 搞一波,发现一个 ewebeditor 编辑器的地址,但是打开返回 500。😓

屏幕快照 2020-02-03 下午6.42.37

接着尝试,找到一个注入点,直接上 sqlmap。

屏幕快照 2020-02-03 下午7.01.44

一系列注入后拿到后台账号密码:

administrator/fangworkpassword
admin/psskjpass

但是始终没有扫到后台地址。但是根据网页源代码等 banner 信息获取到 CMS 信息,社工建站公司拿到默认后台地址,尝试了一下居然真的没改。🤣

同时这个登录页面还存在用户名可枚举等漏洞。😓

屏幕快照 2020-02-03 下午7.12.14

屏幕快照 2020-02-03 下午7.12.26

成功登入后台。

屏幕快照 2020-02-03 下午7.17.55

后台有网站数据库管理功能,但是没有用户名和密码,无法进行利用。

各种挖掘后也没有什么值得利用的信息,后台的上传点依旧调用的是那个接口,无法利用。

但是在 SQL 注入的过程中发现数据库中的某个表中的数据可能控制了允许上传的后缀:

屏幕快照 2020-02-03 下午7.25.48

尝试了下 –sql-shell 更新数据加入 php 后缀,失败,报错非堆查询:

屏幕快照 2020-02-03 下午7.32.12

主站的一系列尝试结束,只好改变思路,尝试找下旁站。

📍 0x02 旁站渗透

找一波旁站,站长工具 - 同 IP 网站查询。发现几个可用的,选其中一个测了一下,发现具有弱口令 admin/admin,可直接进后台:

s

样式管理 👉🏻 添加样式,上传一句话,但是该服务器存在 waf,需要免杀的一句话(或直接上 Behinder),然后直接菜刀连接:

c

连接成功,但是权限控制很严格。在 filesystem\database.php 中有一个数据备份的功能点,但是在目标后台和旁站都不存在该功能点,有可能是管理员删除了该功能。

a1

抓包改包让后台主页面跳转到该功能上,得到账号密码:a0825135757/p1s3s6k8j9s3ql

a2

a3

然后利用旁站刚才上传的 shell,连接数据库修改控制了文件类型的表中的数据:

a4

修改成功,然后回到最初的起点,再上传一句话。

a5

a6

接下来就是内网的事儿了,先记录到这里。

📍 0x03 后话

这次实战经历后,再一次感觉到自身网络安全知识的贫瘠。。。🤣 尤其是代码审计这一块,还有很多利用细节掌握得不够彻底,在实际操作的时候再去查资料就会大幅拖慢工作进度。

所以说平时的技术积累真的很重要,不说了,继续沉淀。