挖洞冏事,看我完整的一次网站渗透经历

作者: 康康 分类: Web安全 发布时间: 2018-03-27 22:14

 文章原创,禁止任何形式转载

前言趣事,发发牢骚:

写这个文章的时候,心里还是有点气的,我发现了一个网站有布尔型注入,是一家国家能源电气公司。提交到补天,补天说联系不到厂商或厂商太小厂商已经放弃治疗  随后漏洞关闭,一个国家能源企业,当然不小

WTF这就完了?那我提交到漏洞盒子吧,互联网漏洞基金会受理了我的漏洞,状态一直显示“待确认”不出意外应该是通知厂商,十多天了啊喂,进度条一点没走,行吧。可能是真的联系不到吧,这个能源国企好可怜。

来,我们再来看一位放弃治疗的,这些厂商很有趣,看来我联系平台不是一个坏主意,免得被倒打一耙

这个一个小型视频网站,其实是微不足道的小漏洞,你都防注入防跨站,但是在用户登陆注册却明文,有点不应该,想了想还是提交了。回头一看被忽略,心想,小漏洞嘛,忽略也正常,人家都不觉得有啥事,我担心啥对不?我定睛一看  是漏洞基金会主动忽略的,而且理由居然是无法复现!!!!!啊好想笑,我记得我提交的时候有用burpsuit抓包截图吧?那个明晃晃的password=123456看不见是吧?连反序列化都不在话下的基金会不会复现?

 

 

好啦好啦,牢骚发完了,来看今天,我就用那个能源企业的网站演示一下渗透流程

1.获取IP、子域名、搭建平台、是否有CDN、用的CMS种类。

方法有很多,浏览报文就能看到使用php5.3+IIS6.0+mysql搭建的,我第一反应就是IIS6.0有解析漏洞。这样一来通常不会规模太大,没有CDN,我用站长工具验证了一下也确实没有,CMS云识别、扫描也没有答案。

2.御剑扫路径,NMAP扫端口,Googlehacking搜报错,文件泄露

发现了后台为xxx.com/houtai,发现暴漏了443端口和8080端口,googlehacking   搜不出报错或者是power by index of  文件泄露。

8080端口访问无果,但是443(https):

一看这不是防火墙麽?赶紧搜一波对应版本的漏洞,结果有一个任意下载漏洞,但也只是登录后才能查看。

再看下后台:

搜了一下名字好像是个子公司的名字,一看子公司网站比较破,先不管他。后台测试万能密码失败

3业务安全以及.AWVS扫描外加人工测试。

业务层没有,就是展示网站,不过没等到AWVS扫描出结果,我已经手工注入有效了, php?id=222后加一撇,返回不一样,铁定注入了。。。

直接放SQLmap里跑一下:

可以注入,往后就太常规了不说了,直接说下结果吧,我查到了他数据库用的root+123456为密码连接的网站应用,第一反应就是可以直接写webshell,都不用提权的说,

4.找绝对路径

写webshell ,搁哪写?sqlmap有盲测路径t的方法,就是都猜着写一遍看哪个有回显,显然这种方法太不优雅了。还废时间。我就用load_file()读了一下IIS配置文件,23333,读的时候不稳定,采用 –hex,最后读到了它的绝对路径:

然后就是写webshell了,but!这是一个汉语路径。我在本地的mysql写汉语路径的webshell就没成功过,后来查阅是将汉语路径GBK格式URL编码绕过。随后试了下也没成功。我并不心急,回头再在本地端练一练

 

5.后台上传webshell尝试以及编辑器漏洞

我通过注入查到了它后台的用户名和密码,密码没有加盐,直接去XMD5解密成功,登录后发现:

ckeditor!!编辑器,随后搜漏洞,搜默认路径和密码,结果都没有用,不管怎么扫路径,查路径都是404,看来它藏得很深啊,算了不管了,直接找上传,我发现它只有横幅图片上传功能和文章编写功能。我巧妙上传了一张图片,抓包分析观察了一下明白了:上传白名单机制,图片二次渲染不成功还会退回,我一拍脑瓜,IIS6.0 文件解析漏洞!我用cmd的copy命令在一张图片中写入一句话木马并改名,结果xxx.php;.jpg和%00截断都没有用,返回都是404,白名单,更不用提.htaccess。我发现它上传后还能修改路径和名字,我巧妙的写成了upload.php/xxx.jpg,结果解析漏洞仍然没有结果,返回404。

6.新闻页写木马意外发现XSS

我随后把目光移向了文章发表与编辑,我发现文章不能发表,只能编辑,但是以前发表过的文章内容还不让编辑,后台显示404,我就把目光转向了标题,为了制造后门,我把网站切换成英语版,把一句话写在了英文标题处遮人眼目。

先闭合以前的php标签,在手动插入一句话,再闭合后面的php标签,哈哈我太聪明了。然后啪啪啪打脸,并不成功

居然被它妥妥的注释了!!看我再来一波?><? ?>php eval($_POST[a]);<??><?php

哈,虽然没有左右闭合,但至少逃出了注释!但是等等!为什么用菜刀连接没反应?后来我一怕脑袋,原来我这一切都是白搭。它是生成的html页面,html页面怎么连接菜刀你告诉我,我真的是被自己秀逗了!哎等等,如果我这样。。。。

嘿嘿嘿,快成功了,换个姿势<img src=’#’ onerror=’alert(“XSS”)’ >

 

 

得了,存储型XSS,哈哈,心里很得意,赶紧把刚才的xss代码删了,但是有什么用呢?xss受害的是用户,除非管理员操作它,但是我管理员权限都拿到了,我还图个什么?我想了一个方法,让它XSS执行js,js写入webshell到同一目录下。但是这个思路似乎并不可行,可行的是我用VPS构造一个webshell连接,js通过访问链接,默认下载到本地。。。。这也太劳神了

 

7.将来打算:

条条大路通罗马,不是有了注入吗?利用udf  mof提权试试,返回一个shell,然后在shell环境下写入一句话木马到绝对路径。当然我内心还是想厂商能早日回复平台,把这个漏洞收入囊中

 

8.企业安全建设,

对于本次渗透,我完全不清楚那个防火墙是用来干嘛的?摆设么?在企业web资产中,应用层级别的防火墙或者入侵检测是十分必要的,否则那个防火墙甚至连免费的安全狗都不如。

发表评论

电子邮件地址不会被公开。 必填项已用*标注