"全套一条龙服务"之低权限dedecms的沦陷

释放双眼,带上耳机,听听看~!

注:本文所有操作涉及到实战,仅分享思路,本文提到所有内容操作均与客户沟通拿到授权书后,进行的渗透测试
这几天在做某项目,一套组合拳下来,于是写篇文章。
整体过程不是很复杂,目标从开始到结束大概三天时间,
目标:www.xxx.gov.cn
套件:Apache Tomcat、php7、dedecms(二次开发)
端口、爆破 就不细讲了
Dedecms 二次开发
第一天:
某接口存在sql注入 数据库为 oracle
不以为然,当时觉得是mysql转成了oracle(这种情况最能符合实际)找了一圈
无dede表
于是此处言验证了并非当前站点库,存在注入点的只是二次开发后的某接口。
思路二
找其他表的用户密码,进行撞库
83!个库 我挨个dump下来前两条
语句:
--level 3 --risk 3 -D xx --start=1 --stop=2 --dump
然而个别库没有权限,有权限的无有用信息 甚至无user相关表名
就这样 一个毫不相干的猪肉…我TM玩了一天
第二天上午 不死心,又跑了一次猪肉 发现凉了,注入点没了。
下午寻找新的思路 (硬刚dedecms)
下了一套dede的源代码,自己搭了一套
获取后台路径方式网上很多,通过自己搭环境测试 直接访问

data/module/0cce60bc0238aa03804682c801584991.xml

也可以得到后台地址
得到后台地址为/xxxserver

猜解账号密码
Admin 默认账号不存在
于是静静的听了一首mc
利用某个小trick 绕过了输入用户名的限制(某大佬曾发过,这里就不阐述了)
直接猜解密码 得到弱口令
进入后台发现….MMP 后台被改成了吊毛,丝毫权限都没有。。。


通过附件数据管理 得到其他会员的用户名
于是尝试登陆其他用户名大部分密码为弱口令,后台管理员为:xxadmin

尝试N次手工猜解无果
第三天
开始硬刚 低权限
一些上传文件什么的 不用想 dede默认仅允许部分扩展名上传文件(相信大家都懂)
反复各种翻 发现某处可低权限shell(暂不公开 略xx字,后续补上)
然而传进shell发现500错误(php7版本问题)….

找到一个支持php7的菜刀
下载地址:.//uploads/CknifePHP7.rar

Shell都下来了 肯定到提权吧

并没有什么权限
一系列提权无果
通过语法 找到在8080口运行另一个平台
Site:www.xxx.gov.cn intitle:管理

Jsp马子啥权限大家心里都有数
路径一顿找,上传jsp马子
直接system提权

直接…

本文 运用多个技巧,后面会逐步一一放出来,如引发不适,请迅速关闭本文章

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
渗透测试

突破安全模式(二)

2019-1-2 23:38:35

Web安全渗透测试

上传的几种姿势

2019-1-8 2:17:50

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
今日签到
有新私信 私信列表
搜索