點(diǎn)擊關(guān)注公眾號，回復(fù)“2T”獲取2TB學(xué)習(xí)資源！

互聯(lián)網(wǎng)架構(gòu)師后臺回復(fù)?2T?有特別禮包


來自：知乎，作者：Ret2Rttr
https://www.zhihu.com/people/bai-gei-a

上一篇：杭州程序員從互聯(lián)網(wǎng)跳央企，曬一天工作和收入，網(wǎng)友：待一年就廢

今天這篇文章來源于知乎上一個叫R1et2Rttr的分享，作者自稱是一名六年級的小學(xué)生。文章主要記錄的是他針對自己學(xué)校網(wǎng)站的一次滲透測試，過程非常有趣，所以分享給各位讀者朋友。

上周三，閑著無聊，準(zhǔn)備上學(xué)校網(wǎng)站看看，想我這種Pwn狗，自然是對Web沒啥希望了。。但是，我還是覺得上學(xué)校網(wǎng)站看看說不定呢~ 所以我上了學(xué)校網(wǎng)站開始了滲透......

一、信息收集

無聊的我登錄上了學(xué)校主站說實(shí)在找不到啥突破點(diǎn) 連個能交互的地方都沒有...

主站這條路死了

所以我準(zhǔn)備從其他角度來思考這個問題。于是，我打開了fofa看看有沒有啥子域名之類的。結(jié)果，hiehie 找到了學(xué)校培訓(xùn)部門的一個網(wǎng)站。

根據(jù)我對學(xué)校的理解，我們學(xué)校是肯定不可能自己做模板的?應(yīng)該是運(yùn)用了其他的cms來建站的，而所謂cms也就是其他的一些網(wǎng)站模板，具體可以是博客、商業(yè)化站之類的。打開了代理，dns開了，就用御劍掃描工具掃了一些。hhh 還真的掃描出來了！

dedecms?! 織夢csm,非常古老的的cms了。我記得可能在我出生之前可能就存在了。那么，問題就出現(xiàn)了。越古老的模板一般都會擁有一些通用性的漏洞。而通用性的漏洞可能會導(dǎo)致網(wǎng)站機(jī)密性、完整性的威脅。其中，我們把這些通用性漏洞這樣分開：

0day 指被發(fā)現(xiàn)但未被修復(fù)過的漏洞
1day 指被發(fā)現(xiàn)且被修復(fù)，但是由于漏洞發(fā)現(xiàn)時間比較早，補(bǔ)丁普及不完整的漏洞
nday 指發(fā)現(xiàn)且被修復(fù)的漏洞，通用性較低，因?yàn)槁┒葱迯?fù)已經(jīng)較長時間，一般只有長期不更新的廠家才會中招** 于是，我開始了我的漏洞尋找之路。

版本號確定？

一開始，我就被網(wǎng)站的留言板塊吸引了。一般來說都會存在XSS漏洞。XSS攻擊是指惡意攻擊者往Web頁面里插入惡意Script代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的Script代碼會被執(zhí)行，從而達(dá)到惡意攻擊用戶的目的也就是說XSS漏洞就像是一個捕獸夾，當(dāng)具有管理員權(quán)限的站長訪問被植入XSS腳本的網(wǎng)頁時，可能會被盜取權(quán)限。

準(zhǔn)備了攻擊載荷，雖然可能性小但是還是準(zhǔn)備試一試。但是在留言之后有一段動畫。我看了看，好像爆了CMS版本！我打開手機(jī)慢動作，拍了下來上面寫著：

確認(rèn)了版本號，找針對這個版本的通用性漏洞就不難了。所以，我打開了珍藏已久的DEDEcms掃描器~?看看有沒有nday漏洞。

二、漏洞利用

經(jīng)過漫長的等待好像似乎掃描到了一個nday 于是我打開了nday掃描中的url 似乎好像有信息泄露漏洞！

INSERT?INTO?`dede_member`?VALUES('1','xxxx','admin','2604ccf7b8a4a852cxxxxxxxx','admin','xxx','100','0','0','0','[email protected]','10000','10','0','','0','','xxxxxx','','xxxxxxx79','xxxxxxx','-1');

這好像是sql數(shù)據(jù)庫的備份里面記錄了 admin 賬號的登錄md5加密后密碼其實(shí) 一般網(wǎng)站的登錄密碼校正就是和數(shù)據(jù)庫中使用同一加密算法加密過的密文來做比對所以說我們只需要逆向破解這串md5密文我們就可以獲得admin賬號密碼

通過md5解密之后，我們成功的獲得了賬戶的密碼。其中為了機(jī)密性考慮，我沒有辦法把密文給你們看。但是，我們已經(jīng)獲得了賬戶的密碼?，F(xiàn)在，我們可以登錄剛剛我們御劍掃描到的子站后臺了。

不出意料的我們登錄了后臺。但是，我們的滲透還沒有結(jié)束?，F(xiàn)在，我們需要獲得整個網(wǎng)站的shell權(quán)限，也就是服務(wù)器的權(quán)限。

三、后滲透

在前面我們提及到nday這個概念，而像這個版本的織夢cms，nday可能是無法避免的。而還是不出意料的我們搜索到了后臺getshell的nday。遠(yuǎn)程命令執(zhí)行 (rce漏洞) 攻擊者可以通過精心構(gòu)造的語句來遠(yuǎn)程控制網(wǎng)絡(luò)服務(wù)器，可以執(zhí)行任何命令。

（其實(shí)應(yīng)該是nday）

接下來，我們就開始漏洞利用吧。

漏洞利用

關(guān)于漏洞的原理不再多說。-->DedeCMS V5.7 SP2后臺存在代碼執(zhí)行漏洞 - 0DayBug - 博客園 (cnblogs.com)。首先，我們需要登錄一個上傳的接口，獲取我們的token值。其中Token就在html當(dāng)中

獲取了Token值，我們就可以構(gòu)造Payload了?。payload結(jié)構(gòu)如下。

域名?+?/dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=&token=[Token值]

輸入payload后訪問

域名+/include/taglib/moonsec.lib.php

可以回顯執(zhí)行的任何php命令。在這里我們可以插入一句話木馬。

成功獲得Shell！

四、總結(jié)

我畫了個思維導(dǎo)圖

補(bǔ)充：之后的Webshell和獲得信息泄露的不是同一個站，是一個可以說是鏡像站，但是密碼還是登進(jìn)去了。

感謝您的閱讀，也歡迎您發(fā)表關(guān)于這篇文章的任何建議，關(guān)注我，技術(shù)不迷茫！小編到你上高速。

??? · END ·

最后，關(guān)注公眾號互聯(lián)網(wǎng)架構(gòu)師，在后臺回復(fù)：2T，可以獲取我整理的 Java 系列面試題和答案，非常齊全。

正文結(jié)束

實(shí)戰(zhàn) | 我把學(xué)校的網(wǎng)站搞了！

一、信息收集

二、漏洞利用

三、后滲透

一、信息收集

二、漏洞利用