实战 | 从前端代码审计挖掘未授权进入后台到文件上传拿下某色情网站
前言记录一次色情网站渗透经历,通过挖掘后台未授权登录以及文件上传getshell拿下服务器 0x1起因就是某群友发了一个截图给我,心想免费的vps又来了
0x2(信息收集)经过了一些常规的信息收集获得了该目标ip,开放端口,app程序包,用的框架为thinkphp6.0.12,以及后台登录地址,开搞
0x3(失败的漏洞利用)当时最有用的信息就是Thinkphp6.0.12,本想试试那个反序列化漏洞,但是没有成功(手工也试过了) 0x4 (找到未授权进入后台)于是转战后台:后台挺简单的一个页面,但是没有找到注入,验证码也是没有问题的,无法爆破,但是从返回数据包中我看到一些比较敏感的信息 这是要给前后端分离的网站,我感觉多半有未授权之类的,立马去看看前端代码,发现惊喜 - $(document).keydown(function (event) {
- if (event.keyCode == 13) {
- $("#loginadmin").click();
- }
- });
- $("#loginadmin").click(function(){
- //获取input表单的值
- var adname=$("input[name='adname']").val();
- var password=$("input[name='password']").val();
- if(adname.length<1) {
- layer.msg('管理员不能为空!',{offset: '150px' })
- return false;
- }
- if(password.length<6){
- layer.msg('密码不能小于六位数!',{offset: '150px' })
- return false;
- }
- $.ajax({
- type: "POST" ,
- dateType: 'json' ,
- url:"/admin/login/index.html",
- data:$(".login_form").serialize(),
- success: function(status){ //验证成功,进入后台
- if(status.code==1){
- layer.msg(status.msg,{offset: '150px' ,icon: 6},function() {
- top.location="/admin/index/index.html" ;
- });
- }; //密码错误
- if(status.code==2){
- layer.msg(status.msg,{offset: '150px' });
- var captcha_img=document.getElementById('captcha');
- captcha_img.src="/captcha.html?" +Math.random();
- $(".check").val('');
- $(".password").val('');
- } //管理员不存在
- if(status.code==3){
- layer.msg(status.msg,{offset: '150px' });
- var captcha_img=document.getElementById('captcha');
- captcha_img.src="/captcha.html?" +Math.random();
- $(".check").val('');
- $(".username").val('');
- $(".password").val('');
- } //验证码错误
- if(status.code==4){
- layer.msg(status.msg,{offset: '150px' });
- var captcha_img=document.getElementById('captcha');
- captcha_img.src="/captcha.html?" +Math.random();
- $(".check").val('');
- }
- }
- })
- })
 在这一段js代码中,清晰明了的逻辑,以及后端主页的地址,返回值为 1 就会跳转到后台,于是修改返回数据包 (这里可以直接访问后台地址)。 然后成功跳转后台,但是立马又跳转到登录页面,心想有机会,这次将burp全程一个一个包的放,当修改登录返回数据包的 code为 1 之后,会接着请求后台主页,并且后台主页的前端代码会成功返回,但是放过这个返回数据包后,浏览器还是没有渲染出页面,burp重放后接收的数据包也没有渲染出页面,好奇怪,猜测应该是有某个js代码导致的,于是我慢慢看那个后台的前端代码,发现了问题: - <script>
- window.location.href="/admin/login"
- </script>
就是因为这串代码,浏览器收到数据包后立马就去请求登录页面了,也就没有渲染页面,不管他,直接删了,成功进入后台页面,此时burp不能关,要不然还是会跳转到登录页面,之后的每一个数据包返回的数据都有那一串跳转到登录页的代码,都要删除。 0x5(文件上传getshell)点击那个网站配置选项,出现了好东西,上传图片,本着试一试的想法,上马子 先来个一句话,成功,看来后端没有限制 但是某剑连不上,真奇怪 换哥斯拉,成功连接 0x6(尝试提权)这个后台禁用了命令执行的函数,只有用哥斯拉的BypassDisableFunctions模块执行命令,先弹个sehll来耍耍,打开我的某某蛇,msf开个监听,哥斯拉PMeterpreter模块直接上线,但是不稳定,过一会就断了,后来经过师兄指点,还是用蛇生成木马上线来的稳定点 拿到稳定的shell之后,开始提权,直接用CVE-2021-4034提权 拿到root权限后,就可以做任何事情咯,找到宝塔面板, 0x7 (其他东西)直接翻数据库,找到管理员密码,可以试试撞其他地方的密码,MD5解密出来是一个弱密码,这要是能爆破,必成功呀 其他就没啥有用的东西了,真可惜,估计东西都在那个app里面 0x8 (总结)攻击路径:网站路径扫描找到后台地址 -> 数据包+前端代码审计发现后台未授权登录 -> 后台文件上传getshell -> CVE-2021-4034提权拿下主机
| 
发表于 2022-9-30 17:49:51
