本帖最后由 alyssa 于 2023-4-6 22:16 编辑
转载于 诚安 漏洞推送
0x01背景 给的一个小程序,功能比较简单: 登陆的话,中文用户名(后来才知道的),所以按照常理来说,直接爆破,是需要蛮久的,毕竟还要知道该人员所在的分部门。 测试开始,常规porxifier+burp抓包:
0x02前台sql注入 前台登陆后发现个注入点,跑到了后台密码,但是加了salt,用hashcat跑了下弱口令,没跑出来,当前数据库用户也非dba。 一看就感觉是tp框架二开的,发现测试的域名为jcss.xxxxx.com,扫了一波目录,后台地址是backxxx,后台有一次性图形验证码,识别率不高,暴破比较难,又手试了一波弱口令,此路不通。 后面去查了下ip,是个阿里云,扫了下端口,发现只开了22,80,443,3306,8888。
0x03quake抓取旁站快照信息泄露+弱口令+getshell 既然是个云服务器,就想着先用hunter,fofa,quake去翻了下该ip历史的扫描信息,发现绑了很多域名,并且用quake看到了一张有意思的图。 这里直接看到开发留下的测试电话号码,是quake之前爬的记录。 但是现在访问无了: 这里就尝试了手机号+某弱口令,一发入魂,登陆进了前台: 猜了一下,后台肯定也是backxxx,然后手机号+某弱口令(普通用户,没啥功能点),admin+某弱口令,一发入魂: 找了个文件上传,一句话上去(但是无法绕过disable_functions),只能看当前站的目录文件,权限还比较低,到这就先把它放一边了:
0x04旁站1后台弱口令-》接管目标站后台 然后测着测着就新发现zt.xxxxx.com后台的弱口令,并且可造成jcss后台的登录绕过,即使用其他网站认证成功session即可登录该系统后台网站(PHP实现多服务器SESSION共享的锅?) zt.xxxxx.com与jcss.xxxxx.com 属于统一ip,并且系统使用框架相同。 测试登录zt.xxxxx.com的backxxx后台存在弱口令(admin/xxxxxxxx) 但是jcss.xxxxx.com的admin账户密码并非xxxxxxxx,且未被破解出来。 首先登陆zt.xxxxx.com/backxxxx,并获取cookie: 0x04目标站后台getshell
在后台找了蛮多上传点,发现都有白名单校验,但是还是在一个神奇的功能点,碰上了为数不多的扩展名后缀可自定义的情况: 直接上传,无法上传: 添加ext,上传绕过: Getshell,可控制所有站群: 一个没想通的点:
|