记一次quake快照抓取到getshell目标
2023-4-3 08:2:41 Author: 漏洞推送(查看原文) 阅读量:14 收藏

0x01背景

给的一个小程序,功能比较简单:

           

登陆的话,中文用户名(后来才知道的),所以按照常理来说,直接爆破,是需要蛮久的,毕竟还要知道该人员所在的分部门。

测试开始,常规porxifier+burp抓包:

0x02前台sql注入

前台登陆后发现个注入点,跑到了后台密码,但是加了salt,用hashcat跑了下弱口令,没跑出来,当前数据库用户也非dba。

一看就感觉是tp框架二开的,发现测试的域名为jcss.xxxxx.com,扫了一波目录,后台地址是backxxx,后台有一次性图形验证码,识别率不高,暴破比较难,又手试了一波弱口令,此路不通。

后面去查了下ip,是个阿里云,扫了下端口,发现只开了22,80,443,3306,8888。

0x03quake抓取旁站快照信息泄露+弱口令+getshell

既然是个云服务器,就想着先用hunter,fofa,quake去翻了下该ip历史的扫描信息,发现绑了很多域名,并且用quake看到了一张有意思的图。

这里直接看到开发留下的测试电话号码,是quake之前爬的记录。

但是现在访问无了:

这里就尝试了手机号+某弱口令,一发入魂,登陆进了前台:

猜了一下,后台肯定也是backxxx,然后手机号+某弱口令(普通用户,没啥功能点),admin+某弱口令,一发入魂:

找了个文件上传,一句话上去(但是无法绕过disable_functions),只能看当前站的目录文件,权限还比较低,到这就先把它放一边了:

0x04旁站1后台弱口令-》接管目标站后台

然后测着测着就新发现zt.xxxxx.com后台的弱口令,并且可造成jcss后台的登录绕过,即使用其他网站认证成功session即可登录该系统后台网站(PHP实现多服务器SESSION共享的锅?)

zt.xxxxx.com与jcss.xxxxx.com 属于统一ip,并且系统使用框架相同。

测试登录zt.xxxxx.com的backxxx后台存在弱口令(admin/xxxxxxxx)

但是jcss.xxxxx.com的admin账户密码并非xxxxxxxx,且未被破解出来。

首先登陆zt.xxxxx.com/backxxxx,并获取cookie:

将PHPSESSID=sf8pxxxxxxxxxxxxxxx69iml02bd4替换到https://jcss.xxxxxxx.com/并访问https://jcss.xxxxxxxxxx.com/Backxxxxx/Subject/Category/index.html,登录成功

0x04目标站后台getshell

     在后台找了蛮多上传点,发现都有白名单校验,但是还是在一个神奇的功能点,碰上了为数不多的扩展名后缀可自定义的情况:

直接上传,无法上传:

添加ext,上传绕过:

Getshell,可控制所有站群:

   

          一个没想通的点:

      


文章来源: http://mp.weixin.qq.com/s?__biz=MzU5MTExMjYwMA==&mid=2247485585&idx=1&sn=67e128496ccad2eec6d80eac9438da7c&chksm=fe32b866c9453170f150d49db28a4eea181dbb05fa5a61a68b4b7905dbe7391b24fc6cfbfd6d#rd
如有侵权请联系:admin#unsafe.sh