程序員的成長之路

互聯(lián)網(wǎng)/程序員/技術(shù)/資料共享?

閱讀本文大概需要 4?分鐘。

來自：編程技術(shù)宇宙

今天這篇文章來源于知乎上一個叫Ret2Rttr的分享，作者自稱是一名六年級的小學(xué)生。文章主要記錄的是他針對自己學(xué)校網(wǎng)站的一次滲透測試，過程非常有趣，所以分享給各位讀者朋友。

---

上周三，閑著無聊，準備上學(xué)校網(wǎng)站看看，想我這種Pwn狗，自然是對Web沒啥希望了。。但是，我還是覺得上學(xué)校網(wǎng)站看看 說不定呢~ 所以 我上了學(xué)校網(wǎng)站 開始了滲透......

Stage 1:信息收集

無聊的我登錄上了學(xué)校主站 說實在找不到啥突破點 連個能交互的地方都沒有...

主站這條路死了

所以我準備從其他角度來思考這個問題。于是，我打開了fofa看看有沒有啥子域名之類的。結(jié)果，hiehie 找到了學(xué)校培訓(xùn)部門的一個網(wǎng)站。

根據(jù)我對學(xué)校的理解，我們學(xué)校是肯定不可能自己做模板的?應(yīng)該是運用了其他的cms來建站的，而所謂cms也就是其他的一些網(wǎng)站模板，具體可以是博客、商業(yè)化站之類的。打開了代理，dns開了，就用御劍掃描工具掃了一些。hhh 還真的掃描出來了！

dedecms?! 織夢csm,非常古老的的cms了。我記得可能在我出生之前可能就存在了。那么，問題就出現(xiàn)了。越古老的模板一般都會擁有一些通用性的漏洞。而通用性的漏洞 可能會導(dǎo)致網(wǎng)站機密性、完整性的威脅。其中，我們把這些通用性漏洞這樣分開：

• 0day 指被發(fā)現(xiàn)但未被修復(fù)過的漏洞
• 1day 指被發(fā)現(xiàn)且被修復(fù)，但是由于漏洞發(fā)現(xiàn)時間比較早，補丁普及不完整的漏洞
• nday 指發(fā)現(xiàn)且被修復(fù)的漏洞，通用性較低，因為漏洞修復(fù)已經(jīng)較長時間，一般只有長期不更新的廠家才會中招** 于是，我開始了我的漏洞尋找之路。

版本號確定？

一開始，我就被網(wǎng)站的留言板塊吸引了。一般來說都會存在XSS漏洞。XSS攻擊是指惡意攻擊者往Web頁面里插入惡意Script代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的Script代碼會被執(zhí)行，從而達到惡意攻擊用戶的目的 也就是說XSS漏洞就像是一個捕獸夾，當具有管理員權(quán)限的站長訪問被植入XSS腳本的網(wǎng)頁時，可能會被盜取權(quán)限。

準備了攻擊載荷，雖然可能性小但是還是準備試一試。但是在留言之后有一段動畫。我看了看，好像爆了CMS版本！我打開手機慢動作，拍了下來上面寫著：

確認了版本號，找針對這個版本的通用性漏洞就不難了。所以，我打開了珍藏已久的DEDEcms掃描器~?看看有沒有nday漏洞。

Stage 2:漏洞利用

經(jīng)過漫長的等待 好像似乎掃描到了一個nday 于是 我打開了nday掃描中的url 似乎好像有信息泄露漏洞！

INSERT?INTO?`dede_member`?VALUES('1','xxxx','admin','2604ccf7b8a4a852cxxxxxxxx','admin','xxx','100','0','0','0','[email protected]','10000','10','0','','0','','xxxxxx','','xxxxxxx79','xxxxxxx','-1');

這好像是sql數(shù)據(jù)庫的備份 里面記錄了 admin 賬號的登錄md5加密后密碼 其實 一般網(wǎng)站的登錄密碼校正就是和數(shù)據(jù)庫中使用同一加密算法加密過的密文來做比對 所以說 我們只需要逆向破解這串md5密文 我們就可以獲得admin賬號密碼

通過md5解密之后，我們成功的獲得了賬戶的密碼。其中為了機密性考慮，我沒有辦法把密文給你們看。但是，我們已經(jīng)獲得了賬戶的密碼?，F(xiàn)在，我們可以登錄剛剛我們御劍掃描到的子站后臺了。

不出意料的我們登錄了后臺。但是，我們的滲透還沒有結(jié)束?，F(xiàn)在，我們需要獲得整個網(wǎng)站的shell權(quán)限，也就是服務(wù)器的權(quán)限。

Stage 3:后滲透

在前面我們提及到nday這個概念，而像這個版本的織夢cms，nday可能是無法避免的。而還是不出意料的我們搜索到了后臺getshell的nday。遠程命令執(zhí)行 (rce漏洞) 攻擊者可以通過精心構(gòu)造的語句來遠程控制網(wǎng)絡(luò)服務(wù)器，可以執(zhí)行任何命令。

（其實應(yīng)該是nday）

接下來，我們就開始漏洞利用吧。

漏洞利用

關(guān)于漏洞的原理不再多說。-->DedeCMS V5.7 SP2后臺存在代碼執(zhí)行漏洞 - 0DayBug - 博客園 (cnblogs.com)。首先，我們需要登錄一個上傳的接口，獲取我們的token值。其中Token就在html當中

獲取了Token值，我們就可以構(gòu)造Payload了?。payload結(jié)構(gòu)如下。

域名?+?/dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=&token=[Token值]

輸入payload后 訪問

域名+/include/taglib/moonsec.lib.php

可以回顯執(zhí)行的任何php命令。在這里我們可以插入一句話木馬。

成功獲得Shell！

總結(jié)

我畫了個思維導(dǎo)圖

補充：之后的Webshell和獲得信息泄露的不是同一個站，是一個可以說是鏡像站，但是密碼還是登進去了。

推薦閱讀：

北大韋神透露現(xiàn)狀：自己課講得不太好，中期學(xué)生退課后就剩下5、6個人...

西安一碼通到底是通過后端下發(fā)圖片的嗎？新笑話：CPU轉(zhuǎn)速過高導(dǎo)致內(nèi)存溢出？

互聯(lián)網(wǎng)初中高級大廠面試題(9個G)

內(nèi)容包含Java基礎(chǔ)、JavaWeb、MySQL性能優(yōu)化、JVM、鎖、百萬并發(fā)、消息隊列、高性能緩存、反射、Spring全家桶原理、微服務(wù)、Zookeeper、數(shù)據(jù)結(jié)構(gòu)、限流熔斷降級......等技術(shù)棧！

?戳閱讀原文領(lǐng)??！? ? ? ? ? ? ? ??? ??? ? ? ? ? ? ? ? ? ?朕已閱?