当前位置:首页 » 入侵检测 » 正文

分类页和文章页“当前位置”下方广告(PC版)
领先漏洞博客,一个值得收藏的网站!个人QQ/微信 : 947691002 技术交流QQ群:144650234

一次“失败”的渗透

489 人参与  2017年12月03日 20:07  分类 : 入侵检测  评论

一直听说某学校的某些网站做的非常好,没有什么漏洞。我大体看了下,发现是Linux+Apache,我想估计是因为 Linux的原因让大家觉得很安全吧!毕竟学校这种地方,网站的漏洞应该是非常多的,我也就没再多想。直到有一天,忽然发现很多院系的 URL都是相似的,我才有了进行友情测试的想法。然而我最终也没能得到管理员的密码,所以称之为“失败”的入侵吧!(文中网址均以*.cn代替)打开网站,如图 1所示,看起来还不错,URL://1.cn/?mod=info&act=view&id=836的所有参数都走 index.***这个网页,再进行其他操作。尝试了 PHP、ASP等后缀,确定网站使用 PHP编写。

先来看下网站的  CMS系统吧,Power  by le***c,没听说过,百度后发现好像页面都是这所大学内部院系的,看样没有现成的漏洞可以利用了。

一次“失败”的渗透 入侵检测 第1张

根据短板原理,只要找到了最脆弱的攻击点,就可以由此展开攻击。首先用 5W数据的后台字典暴力扫描看看有什么能直接利用的东西,比如 eWebEditor之类的,结果一无所获。

后来更换 80W的大字典满负荷扫了很长时间,也只扫描到   1.cn/fckeditor/editor/fckeditor.html一个地址,但这个网址却也打不开,估计是被限制关闭了。

现成的漏洞没有,只能自己挖掘了,看来这个网站的安全性还真不错。由网页参数mod=info&act=view&id=836,推断 mod是信息这一栏,act则是各种详细动作,id则为定位到每篇文章的编号。经过 SQLMAP、穿山甲、胡萝卜和 safe3的各种摧残,最终也是没能扫描到任何注入点。暴力忙了一天也没有收获,休息一下明天继续吧。

由于服务器大多是学校的独立服务器,直接搜索旁注站点是不可能了,只能从百度中继续搜索这套程序的特征参数,最终找到一个不属于学校但却使用同一套 CMS的网站,网址记作 2.cn。同样找最薄弱处,先暴力扫目录,扫到 bbs这个目录,打开显示为一个  phpbb的论坛,只有 admin一个用户,估计荒废了。去网上搜索对应的漏洞和默认密码,都没有成功,反倒是找到了一个利用 phpmyadmin替换密文的方式恢复密码的,看了下密文和明文,发现是单一的 MD5加密,看来只要拿到  admin的密码基本就没有问题了,可是找了半天也没找到一个可以利用的漏洞,看来我的水平和运气真的是差到家了。

就在感觉真的没希望的时候,我忽然意识到这些网站好像每个都有些不同的地方,比如板块功能设计,也就是说,我遗漏了某些页面和参数!赶紧重新对比两个网站,发现我最开始扫描注入点的网站没有搜索功能,而现在的网站则存在此功能!得到参数mod=info&act=search&kw=a&x=4&y=7,kw就是搜索关键字,后面的  x和  y不知用处,去掉也无妨。kw后习惯性加上一个单引号,MySQL报错了,连   SQL查询语句都爆了出来,如图 2所示。

一次“失败”的渗透 入侵检测 第2张

既然这里存在注入,就直接扔进 sqlmap,可是却没跑出来,提示如下:

之后换成 Safe3就成功地跑出目标程序的数据库了,密码是经过加密的,长度为  20位,一开始以为是类似于 dedecms那样的加密方式,可是逆向还原  MD5却无论如何也破解不了,所以初步猜测是加了 salt后截断某  20位。正面攻击又失败了,那就从  PHPBB下手吧。

跑出来的数据库如图 3所示,再根据之前那个恢复  PHPBB密码帖子,找到  MD5值ee10c315eba2c75b403ea99136f5b48d,查询出来密码为 nimda。成功登录后台,进入后台之后却大失所望,后台由于年久失修无比残缺,功能损失得惨绝人寰,最终也是没能搞到有用的信息,思路又断掉了。

一次“失败”的渗透 入侵检测 第3张

继续搜特征参数看看能不能找到可以利用的其他网站,结果还真找到一个:/?mod=info&act=list&id=8。注意到了吗?这是二级目录而不是根目录。我们跳回根目录,如图 4所示,下面有几个  URL看起来安全性不怎么好的  ASP子站。

看版权信息好像很久没有更新了,同样扫描目录,找到了一个上传页面,如图 5所示。

一次“失败”的渗透 入侵检测 第4张

一次“失败”的渗透 入侵检测 第5张

上传一个 ASP大马,提示文件类型不正确,尝试  asa也不行,于是想到  IIS的解析漏洞,将大马改名为 a.asp;a.jpg,成功上传,查看返回信息得到上传之后的大马路径/answersystem/taolun/upload/a.asp;.jpg_a.jpg,后来又尝试了下 00截断也是可以成功上传的。

这样就得到了 WebShell,直接从文件管理器中找到目标程序所在的目录,如图 6所示。

一次“失败”的渗透 入侵检测 第6张

利用大马中的服务器打包功能,将 zhongxin2013目录打包成  mdb文件下载,去网上找了一个 vbs脚本,将文件从  mdb数据库内导出。打开文件源码,定位到libs/lib_user.php,找到checkpass这个检验用户名密码是否正确的函数。

function checkPass($u,$p,$v,$url="?admin=admin",$flg="0")

{

//File

lib_user.php

require_once("libs/lib_log.php");

$log = new Log();

if($v<>$_COOKIE["vertify"])

alert("验证码不正确,请重新输入","");

$u = sqlFilter($u);//进行过滤 sqlFliter这个函数我也贴出来

$p = sqlFilter($p);

$sql = "select * from user where name='$u' and pwd=left(md5('$p'),20)";//关键代码

$this->db->query($sql);

if($this->db->num_rows()<1)

{

alert("帐号或密码不正确,请重新输入","",0);

}

$this->db->next_record(MYSQL_ASSOC)

#省略无关代码............................

}
function sqlFilter($s)

{//File lib_function.php

$str = $s;

$str = str_replace('\'','&#39;',$str);

//$str = str_replace('\"','&#34;',$str);

$str = str_replace('\"','&#59;',$str);

return $str;

}

但在这个过程中,我很不幸的将 pwd=left(md5('$p'),20)这句话看成了pwd=left(md5('$p',20)),导致我后续一系列的没有多少意义的举动——搞到管理员密码。问了别人都说标准 PHP没有这样一个  MD5()函数,结果找了半天也没找到这个“MD5”函数的定义。我想,或许我得到的这个程序也是残缺版?

不管了,还是先看看还有什么能利用的漏洞把。整理下思路,现在知道了管理员的密码的加密值,有部分网站源码,如果知道管理员的密码或者后台权限,说不定就能得到完整程序。要实现这一点,最合适的就是搞到 Cookie,也就是 XSS。说干就干,在留言处发现留言内容并没有进行过滤,从而可以进行跨站攻击得到 Cookie。在本机搭建环境并成功得到Cookie后,我给管理员留了个带有  XSS代码的“建议”。
不到一天就收到了 Cookie。趁晚上管理员不在,改了 IP和  MAC,用得到的 Cookie登录,找到上传附件,直接得到 PHP Shell。之后又将服务器程序打包下来,进行对比,发现源码内容一样,这时候我才发现原来是标准 MD5加密函数,取了左  20位。去社区问了问别人,说截断的 MD5基本是没法爆破的,然后不甘心,又用  l***c(作者的名字)+常用组合跑了半小时 MD5也没跑出来,自我安慰想了想也没有多少必要非得拿到管理员密码,毕竟源码和Cookie都有了,况且想得到密码的话上传个  EXP,修改下 PHP源文件就可以了,但是这样可能会对服务器产生不可预知的后果,也就算了。

到此,这次“失败”的渗透过程也算画上了个句号。当我们在进行渗透测试的时候,不妨利用短板原理,找最短的板,它可能是旁注的旁注的旁注,然后由最短的板开始,逐步得到网站源码,然后进行白盒分析,再进行有针对性的分析,这样对渗透是事半功倍。


来源:领先漏洞(QQ交流群:144650234),转载请保留出处和链接!

本文链接:http://www.sickbug.com/post/66.html

文章底部广告(PC版)
领先漏洞博客,一个值得收藏的网站!个人QQ/微信 : 947691002 技术交流QQ群:144650234

本文标签:

加入【领先技术交流】QQ群:144650234(加群验证:领先博客)

<< 上一篇 下一篇 >>
评论框上方广告(PC版)
领先漏洞博客,一个值得收藏的网站!个人QQ/微信 : 947691002 技术交流QQ群:144650234

  • 评论(0)
  • 相关文章

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

SEO最好模板

文章投稿 | 有偿服务 | 本站主题 | 友链申请 | 负责申明

Copyright Your WebSite.Some Rights Reserved.