“全套一条龙服务”之低权限dedecms的沦陷

首页 » Web安全 » “全套一条龙服务”之低权限dedecms的沦陷

注:本文所有操作涉及到实战,仅分享思路,本文提到所有内容操作均与客户沟通拿到授权书后,进行的渗透测试
这几天在做某项目,一套组合拳下来,于是写篇文章。
整体过程不是很复杂,目标从开始到结束大概三天时间,
目标:www.xxx.gov.cn
套件:Apache Tomcat、php7、dedecms(二次开发)
端口、爆破 就不细讲了
Dedecms 二次开发
第一天:
某接口存在sql注入 数据库为 oracle
不以为然,当时觉得是mysql转成了oracle(这种情况最能符合实际)找了一圈
无dede表
于是此处言验证了并非当前站点库,存在注入点的只是二次开发后的某接口。
思路二
找其他表的用户密码,进行撞库
83!个库 我挨个dump下来前两条
语句:
–level 3 –risk 3 -D xx –start=1 –stop=2 –dump
然而个别库没有权限,有权限的无有用信息 甚至无user相关表名
就这样 一个毫不相干的猪肉…我TM玩了一天
第二天上午 不死心,又跑了一次猪肉 发现凉了,注入点没了。
下午寻找新的思路 (硬刚dedecms)
下了一套dede的源代码,自己搭了一套
获取后台路径方式网上很多,通过自己搭环境测试 直接访问

data/module/0cce60bc0238aa03804682c801584991.xml

也可以得到后台地址
得到后台地址为/xxxserver

猜解账号密码
Admin 默认账号不存在
于是静静的听了一首mc
利用某个小trick 绕过了输入用户名的限制(某大佬曾发过,这里就不阐述了)
直接猜解密码 得到弱口令
进入后台发现….MMP 后台被改成了吊毛,丝毫权限都没有。。。


通过附件数据管理 得到其他会员的用户名
于是尝试登陆其他用户名大部分密码为弱口令,后台管理员为:xxadmin

尝试N次手工猜解无果
第三天
开始硬刚 低权限
一些上传文件什么的 不用想 dede默认仅允许部分扩展名上传文件(相信大家都懂)
反复各种翻 发现某处可低权限shell(暂不公开 略xx字,后续补上)
然而传进shell发现500错误(php7版本问题)….

找到一个支持php7的菜刀
下载地址:.//uploads/CknifePHP7.rar

Shell都下来了 肯定到提权吧

并没有什么权限
一系列提权无果
通过语法 找到在8080口运行另一个平台
Site:www.xxx.gov.cn intitle:管理

Jsp马子啥权限大家心里都有数
路径一顿找,上传jsp马子
直接system提权

直接…

本文 运用多个技巧,后面会逐步一一放出来,如引发不适,请迅速关闭本文章

免责声明:本站所提供工具、技术文章,仅供技术学习交流、请勿用于非法行为,请遵守相关法律规定,否则后果自负。作者:administrator, 转载或复制请以 超链接形式 并注明出处 大老李的Blog|渗透测试论坛|红蓝对抗|大型Web安全问答社区
原文地址:《“全套一条龙服务”之低权限dedecms的沦陷》 发布于2019-01-04

分享到:
赞(1) 打赏 生成海报

评论 抢沙发

评论前必须登录!

  注册



长按图片转发给朋友

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

关于渗透测试入门到进阶教学
后期的系列课程、问答以及工具、思路分享将会在星球发布
切换注册

登录

忘记密码 ?

切换登录

注册