记录一次色情网站渗透经历,通过挖掘后台未授权登录以及文件上传getshell拿下服务器
起因就是某群友发了一个截图给我,心想免费的vps又来了
经过了一些常规的信息收集获得了该目标ip,开放端口,app程序包,用的框架为thinkphp6.0.12,以及后台登录地址,开搞
当时最有用的信息就是Thinkphp6.0.12,本想试试那个反序列化漏洞,但是没有成功(手工也试过了)
于是转战后台:后台挺简单的一个页面,但是没有找到注入,验证码也是没有问题的,无法爆破,但是从返回数据包中我看到一些比较敏感的信息
这是要给前后端分离的网站,我感觉多半有未授权之类的,立马去看看前端代码,发现惊喜
$(document).keydown(function (event) { if (event.keyCode == 13) { $("#loginadmin").click(); } }); $("#loginadmin").click(function(){ //获取input表单的值 var adname=$("input[name='adname']").val(); var password=$("input[name='password']").val(); if(adname.length<1) { layer.msg('管理员不能为空!',{offset: '150px' }) return false; } if(password.length<6){ layer.msg('密码不能小于六位数!',{offset: '150px' }) return false; } $.ajax({ type: "POST" , dateType: 'json' , url:"/admin/login/index.html", data:$(".login_form").serialize(), success: function(status){ //验证成功,进入后台 if(status.code==1){ layer.msg(status.msg,{offset: '150px' ,icon: 6},function() { top.location="/admin/index/index.html" ; }); }; //密码错误 if(status.code==2){ layer.msg(status.msg,{offset: '150px' }); var captcha_img=document.getElementById('captcha'); captcha_img.src="/captcha.html?" +Math.random(); $(".check").val(''); $(".password").val(''); } //管理员不存在 if(status.code==3){ layer.msg(status.msg,{offset: '150px' }); var captcha_img=document.getElementById('captcha'); captcha_img.src="/captcha.html?" +Math.random(); $(".check").val(''); $(".username").val(''); $(".password").val(''); } //验证码错误 if(status.code==4){ layer.msg(status.msg,{offset: '150px' }); var captcha_img=document.getElementById('captcha'); captcha_img.src="/captcha.html?" +Math.random(); $(".check").val(''); } } }) })
在这一段js代码中,清晰明了的逻辑,以及后端主页的地址,返回值为 1 就会跳转到后台,于是修改返回数据包 (这里可以直接访问后台地址)。
然后成功跳转后台,但是立马又跳转到登录页面,心想有机会,这次将burp全程一个一个包的放,当修改登录返回数据包的 code为 1 之后,会接着请求后台主页,并且后台主页的前端代码会成功返回,但是放过这个返回数据包后,浏览器还是没有渲染出页面,burp重放后接收的数据包也没有渲染出页面,好奇怪,猜测应该是有某个js代码导致的,于是我慢慢看那个后台的前端代码,发现了问题:
<script> window.location.href="/admin/login" </script>
就是因为这串代码,浏览器收到数据包后立马就去请求登录页面了,也就没有渲染页面,不管他,直接删了,成功进入后台页面,此时burp不能关,要不然还是会跳转到登录页面,之后的每一个数据包返回的数据都有那一串跳转到登录页的代码,都要删除。
点击那个网站配置选项,出现了好东西,上传图片,本着试一试的想法,上马子
先来个一句话,成功,看来后端没有限制
但是某剑连不上,真奇怪
换哥斯拉,成功连接
这个后台禁用了命令执行的函数,只有用哥斯拉的BypassDisableFunctions模块执行命令,先弹个sehll来耍耍,打开我的某某蛇,msf开个监听,哥斯拉PMeterpreter模块直接上线,但是不稳定,过一会就断了,后来经过师兄指点,还是用蛇生成木马上线来的稳定点
拿到稳定的shell之后,开始提权,不知道是我的操作有问题是运气不好,搞了半天,啥子脏牛提权,内核溢出,suid提权(条件不满足),能用的exp都用了,就是提不了,算了,以后用空再搞
提不了权就看看有没有啥子有价值的东西,毕竟这是一个h网站
直接翻数据库,找到管理员密码,虽然没有什么用,但是可以试试撞其他地方的密码,MD5解密出来是一个弱密码,这要是能爆破,必成功呀
其他就没啥有用的东西了,真可惜,估计东西都在那个app里面
攻击路径:网站路径扫描找到后台地址 -> 数据包+前端代码审计发现后台未授权登录 -> 后台文件上传getshell