安全矩阵

 找回密码
 立即注册
搜索
查看: 755|回复: 0

记一次quake快照抓取到getshell目标

[复制链接]

215

主题

215

帖子

701

积分

高级会员

Rank: 4

积分
701
发表于 2023-4-6 22:14:06 | 显示全部楼层 |阅读模式
本帖最后由 alyssa 于 2023-4-6 22:16 编辑

转载于 诚安 漏洞推送

0x01背景
给的一个小程序,功能比较简单:
           
登陆的话,中文用户名(后来才知道的),所以按照常理来说,直接爆破,是需要蛮久的,毕竟还要知道该人员所在的分部门。
测试开始,常规porxifier+burp抓包:

0x02前台sql注入
前台登陆后发现个注入点,跑到了后台密码,但是加了salt,用hashcat跑了下弱口令,没跑出来,当前数据库用户也非dba。
一看就感觉是tp框架二开的,发现测试的域名为jcss.xxxxx.com,扫了一波目录,后台地址是backxxx,后台有一次性图形验证码,识别率不高,暴破比较难,又手试了一波弱口令,此路不通。
后面去查了下ip,是个阿里云,扫了下端口,发现只开了22,80,443,3306,8888。

0x03quake抓取旁站快照信息泄露+弱口令+getshell
既然是个云服务器,就想着先用hunter,fofa,quake去翻了下该ip历史的扫描信息,发现绑了很多域名,并且用quake看到了一张有意思的图。
           
这里直接看到开发留下的测试电话号码,是quake之前爬的记录。
但是现在访问无了:
这里就尝试了手机号+某弱口令,一发入魂,登陆进了前台:
猜了一下,后台肯定也是backxxx,然后手机号+某弱口令(普通用户,没啥功能点),admin+某弱口令,一发入魂:
找了个文件上传,一句话上去(但是无法绕过disable_functions),只能看当前站的目录文件,权限还比较低,到这就先把它放一边了:

0x04旁站1后台弱口令-》接管目标站后台
然后测着测着就新发现zt.xxxxx.com后台的弱口令,并且可造成jcss后台的登录绕过,即使用其他网站认证成功session即可登录该系统后台网站(PHP实现多服务器SESSION共享的锅?)
zt.xxxxx.com与jcss.xxxxx.com 属于统一ip,并且系统使用框架相同。
测试登录zt.xxxxx.com的backxxx后台存在弱口令(admin/xxxxxxxx)
但是jcss.xxxxx.com的admin账户密码并非xxxxxxxx,且未被破解出来。
         
首先登陆zt.xxxxx.com/backxxxx,并获取cookie:
将PHPSESSID=sf8pxxxxxxxxxxxxxxx69iml02bd4替换到https://jcss.xxxxxxx.com/并访问https://jcss.xxxxxxxxxx.com/Backxxxxx/Subject/Category/index.html,登录成功
0x04目标站后台getshell

     在后台找了蛮多上传点,发现都有白名单校验,但是还是在一个神奇的功能点,碰上了为数不多的扩展名后缀可自定义的情况:
直接上传,无法上传:
添加ext,上传绕过:
Getshell,可控制所有站群:
一个没想通的点:




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 20:39 , Processed in 0.015237 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表