小學(xué)生把自己學(xué)校的網(wǎng)站搞了！

作者丨Ret2Rttr

zhuanlan.zhihu.com/p/417528231

今天這篇文章來(lái)源于知乎上一個(gè)叫Ret2Rttr的分享，作者自稱(chēng)是一名六年級(jí)的小學(xué)生。文章主要記錄的是他針對(duì)自己學(xué)校網(wǎng)站的一次滲透測(cè)試，過(guò)程非常有趣，所以分享給各位讀者朋友。

上周三，閑著無(wú)聊，準(zhǔn)備上學(xué)校網(wǎng)站看看，想我這種Pwn狗，自然是對(duì)Web沒(méi)啥希望了。。但是，我還是覺(jué)得上學(xué)校網(wǎng)站看看 說(shuō)不定呢~ 所以 我上了學(xué)校網(wǎng)站 開(kāi)始了滲透......

# Stage 1:信息收集

無(wú)聊的我登錄上了學(xué)校主站 說(shuō)實(shí)在找不到啥突破點(diǎn) 連個(gè)能交互的地方都沒(méi)有...

主站這條路死了

所以我準(zhǔn)備從其他角度來(lái)思考這個(gè)問(wèn)題。于是，我打開(kāi)了fofa看看有沒(méi)有啥子域名之類(lèi)的。結(jié)果，hiehie 找到了學(xué)校培訓(xùn)部門(mén)的一個(gè)網(wǎng)站。

根據(jù)我對(duì)學(xué)校的理解，我們學(xué)校是肯定不可能自己做模板的 應(yīng)該是運(yùn)用了其他的cms來(lái)建站的，而所謂cms也就是其他的一些網(wǎng)站模板，具體可以是博客、商業(yè)化站之類(lèi)的。打開(kāi)了代理，dns開(kāi)了，就用御劍掃描工具掃了一些。hhh 還真的掃描出來(lái)了！

dedecms?! 織夢(mèng)csm,非常古老的的cms了。我記得可能在我出生之前可能就存在了。那么，問(wèn)題就出現(xiàn)了。越古老的模板一般都會(huì)擁有一些通用性的漏洞。而通用性的漏洞 可能會(huì)導(dǎo)致網(wǎng)站機(jī)密性、完整性的威脅。其中，我們把這些通用性漏洞這樣分開(kāi)：

• 0day 指被發(fā)現(xiàn)但未被修復(fù)過(guò)的漏洞

• 1day 指被發(fā)現(xiàn)且被修復(fù)，但是由于漏洞發(fā)現(xiàn)時(shí)間比較早，補(bǔ)丁普及不完整的漏洞

• nday 指發(fā)現(xiàn)且被修復(fù)的漏洞，通用性較低，因?yàn)槁┒葱迯?fù)已經(jīng)較長(zhǎng)時(shí)間，一般只有長(zhǎng)期不更新的廠家才會(huì)中招** 于是，我開(kāi)始了我的漏洞尋找之路。

版本號(hào)確定？

一開(kāi)始，我就被網(wǎng)站的留言板塊吸引了。一般來(lái)說(shuō)都會(huì)存在XSS漏洞。XSS攻擊是指惡意攻擊者往Web頁(yè)面里插入惡意Script代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的Script代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶(hù)的目的 也就是說(shuō)XSS漏洞就像是一個(gè)捕獸夾，當(dāng)具有管理員權(quán)限的站長(zhǎng)訪(fǎng)問(wèn)被植入XSS腳本的網(wǎng)頁(yè)時(shí)，可能會(huì)被盜取權(quán)限。

準(zhǔn)備了攻擊載荷，雖然可能性小但是還是準(zhǔn)備試一試。但是在留言之后有一段動(dòng)畫(huà)。我看了看，好像爆了CMS版本！我打開(kāi)手機(jī)慢動(dòng)作，拍了下來(lái)上面寫(xiě)著：

確認(rèn)了版本號(hào)，找針對(duì)這個(gè)版本的通用性漏洞就不難了。所以，我打開(kāi)了珍藏已久的DEDEcms掃描器~ 看看有沒(méi)有nday漏洞。

# Stage 2:漏洞利用

經(jīng)過(guò)漫長(zhǎng)的等待 好像似乎掃描到了一個(gè)nday 于是 我打開(kāi)了nday掃描中的url 似乎好像有信息泄露漏洞！

INSERT INTO `dede_member` VALUES('1','xxxx','admin','2604ccf7b8a4a852cxxxxxxxx','admin','xxx','100','0','0','0','[email protected]','10000','10','0','','0','','xxxxxx','','xxxxxxx79','xxxxxxx','-1');

這好像是sql數(shù)據(jù)庫(kù)的備份 里面記錄了 admin 賬號(hào)的登錄md5加密后密碼 其實(shí) 一般網(wǎng)站的登錄密碼校正就是和數(shù)據(jù)庫(kù)中使用同一加密算法加密過(guò)的密文來(lái)做比對(duì) 所以說(shuō) 我們只需要逆向破解這串md5密文 我們就可以獲得admin賬號(hào)密碼

通過(guò)md5解密之后，我們成功的獲得了賬戶(hù)的密碼。其中為了機(jī)密性考慮，我沒(méi)有辦法把密文給你們看。但是，我們已經(jīng)獲得了賬戶(hù)的密碼?，F(xiàn)在，我們可以登錄剛剛我們御劍掃描到的子站后臺(tái)了。

不出意料的我們登錄了后臺(tái)。但是，我們的滲透還沒(méi)有結(jié)束?，F(xiàn)在，我們需要獲得整個(gè)網(wǎng)站的shell權(quán)限，也就是服務(wù)器的權(quán)限。

# Stage 3:后滲透

在前面我們提及到nday這個(gè)概念，而像這個(gè)版本的織夢(mèng)cms，nday可能是無(wú)法避免的。而還是不出意料的我們搜索到了后臺(tái)getshell的nday。遠(yuǎn)程命令執(zhí)行 (rce漏洞) 攻擊者可以通過(guò)精心構(gòu)造的語(yǔ)句來(lái)遠(yuǎn)程控制網(wǎng)絡(luò)服務(wù)器，可以執(zhí)行任何命令。

（其實(shí)應(yīng)該是nday）

接下來(lái)，我們就開(kāi)始漏洞利用吧。

漏洞利用

關(guān)于漏洞的原理不再多說(shuō)。-->DedeCMS V5.7 SP2后臺(tái)存在代碼執(zhí)行漏洞 - 0DayBug - 博客園 (cnblogs.com)。首先，我們需要登錄一個(gè)上傳的接口，獲取我們的token值。其中Token就在html當(dāng)中

獲取了Token值，我們就可以構(gòu)造Payload了 。payload結(jié)構(gòu)如下。

域名 + /dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=&token=[Token值]

輸入payload后 訪(fǎng)問(wèn)

域名+/include/taglib/moonsec.lib.php

可以回顯執(zhí)行的任何php命令。在這里我們可以插入一句話(huà)木馬。

成功獲得Shell！

總結(jié)

我畫(huà)了個(gè)思維導(dǎo)圖

補(bǔ)充：之后的Webshell和獲得信息泄露的不是同一個(gè)站，是一個(gè)可以說(shuō)是鏡像站，但是密碼還是登進(jìn)去了。

-End-

最近有一些小伙伴，讓我?guī)兔φ乙恍?面試題?資料，于是我翻遍了收藏的 5T 資料后，匯總整理出來(lái)，可以說(shuō)是程序員面試必備！所有資料都整理到網(wǎng)盤(pán)了，歡迎下載！