注:本文所有操作涉及到实战,仅分享思路,本文提到所有内容操作均与客户沟通拿到授权书后,进行的渗透测试
这几天在做某项目,一套组合拳下来,于是写篇文章。
整体过程不是很复杂,目标从开始到结束大概三天时间,
目标:www.xxx.gov.cn
套件:Apache Tomcat、php7、dedecms(二次开发)
端口、爆破 就不细讲了
Dedecms 二次开发
第一天:
某接口存在sql注入 数据库为 oracle
不以为然,当时觉得是mysql转成了oracle(这种情况最能符合实际)找了一圈
无dede表
于是此处言验证了并非当前站点库,存在注入点的只是二次开发后的某接口。
思路二
找其他表的用户密码,进行撞库
83!个库 我挨个dump下来前两条
语句:
–level 3 –risk 3 -D xx –start=1 –stop=2 –dump
然而个别库没有权限,有权限的无有用信息 甚至无user相关表名
就这样 一个毫不相干的猪肉…我TM玩了一天
第二天上午 不死心,又跑了一次猪肉 发现凉了,注入点没了。
下午寻找新的思路 (硬刚dedecms)
下了一套dede的源代码,自己搭了一套
获取后台路径方式网上很多,通过自己搭环境测试 直接访问
data/module/0cce60bc0238aa03804682c801584991.xml
也可以得到后台地址
得到后台地址为/xxxserver
猜解账号密码
Admin 默认账号不存在
于是静静的听了一首mc
利用某个小trick 绕过了输入用户名的限制(某大佬曾发过,这里就不阐述了)
直接猜解密码 得到弱口令
进入后台发现….MMP 后台被改成了吊毛,丝毫权限都没有。。。
通过附件数据管理 得到其他会员的用户名
于是尝试登陆其他用户名大部分密码为弱口令,后台管理员为:xxadmin
尝试N次手工猜解无果
第三天
开始硬刚 低权限
一些上传文件什么的 不用想 dede默认仅允许部分扩展名上传文件(相信大家都懂)
反复各种翻 发现某处可低权限shell(暂不公开 略xx字,后续补上)
然而传进shell发现500错误(php7版本问题)….
找到一个支持php7的菜刀
下载地址:.//uploads/CknifePHP7.rar
Shell都下来了 肯定到提权吧
并没有什么权限
一系列提权无果
通过语法 找到在8080口运行另一个平台
Site:www.xxx.gov.cn intitle:管理
Jsp马子啥权限大家心里都有数
路径一顿找,上传jsp马子
直接system提权
直接…
本文 运用多个技巧,后面会逐步一一放出来,如引发不适,请迅速关闭本文章
