昨天在知乎上看了一个叫 Ret2Rttr 的小朋友分享文章,讲述了自己渗透自己学校网站的经历。
注意了,这可是位七年级 12 岁的小朋友,整个过程逻辑清晰,有理有据,相当有意思。
我 12 岁干啥来着?好像正偷偷拿着《挪威森林》看绿子,后生可畏。
以下为原文:
上周三,闲着无聊,准备上学校网站看看,想我这种 Pwn 狗,自然是对 Web 没啥希望了。
但是,我还是觉得上学校网站看看,说不定呢~
所以我登上了学校网站,开始了渗透…
信息收集
无聊的我登录上了学校主站 说实在找不到啥突破点 连个能交互的地方都没有…
主站这条路死了。
所以我准备从其他角度来思考这个问题。于是,我打开了 fofa 看看有没有啥子域名之类的。
结果,hiehie,找到了学校培训部门的一个网站。
根据我对学校的理解,我们学校是肯定不可能自己做模板的,应该是运用了其他的 cms 来建站的,而所谓 cms 也就是其他的一些网站模板,具体可以是博客、商业化站之类的。
打开了代理,dns 开了,就用御剑扫描工具扫了一些。hhh 还真的扫描出来了!
dedecms?! 织梦 csm,非常古老的的 cms 了。我记得可能在我出生之前可能就存在了。
那么,问题就出现了。越古老的模板一般都会拥有一些通用性的漏洞。而通用性的漏洞可能会导致网站机密性、完整性的威胁。
其中,我们把这些通用性漏洞这样分开:
-
0day 指被发现但未被修复过的漏洞
-
1day 指被发现且被修复,但是由于漏洞发现时间比较早,补丁普及不完整的漏洞
-
nday 指发现且被修复的漏洞,通用性较低,因为漏洞修复已经较长时间,一般只有长期不更新的厂家才会中招**
于是,我开始了我的漏洞寻找之路。
版本号确定?
一开始,我就被网站的留言板块吸引了。一般来说都会存在 XSS 漏洞。
XSS 攻击是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。
也就是说 XSS 漏洞就像是一个捕兽夹,当具有管理员权限的站长访问被植入 XSS 脚本的网页时,可能会被盗取权限。
准备了攻击载荷,虽然可能性小但是还是准备试一试。
但在留言之后有一段动画,我看了看,好像爆了 CMS 版本!我打开手机慢动作,拍了下来上面写着:
确认了版本号,找针对这个版本的通用性漏洞就不难了。
所以,我打开了珍藏已久的 DEDEcms 扫描器~看看有没有 nday 漏洞。
漏洞利用
经过漫长的等待 好像似乎扫描到了一个 nday,于是我打开了 nday 扫描中的 url,似乎好像有信息泄露漏洞!
INSERT INTO `dede_member` VALUES('1','xxxx','admin','2604ccf7b8a4a852cxxxxxxxx','admin','xxx','100','0','0','0','xxxxxxx@qq.com','10000','10','0','','0','','xxxxxx','','xxxxxxx79','xxxxxxx','-1');
这好像是 sql 数据库的备份,里面记录了 admin 账号的登录 md5 加密后密码。
其实,一般网站的登录密码校正就是和数据库中使用同一加密算法加密过的密文来做比对。
所以说,我们只需要逆向破解这串 md5 密文,就可以获得 admin 账号密码。
通过 md5 解密之后,我们成功的获得了账户的密码。
其中为了机密性考虑,我没有办法把密文给你们看。但我们确实已经获得了账户的密码,可以登录刚刚我们御剑扫描到的子站后台了。
不出意料的登录了后台,可我们的渗透还没有结束。现在,我们需要获得整个网站的 shell 权限,也就是服务器的权限。
后渗透
在前面我们提及到 nday 这个概念,而像这个版本的织梦 cms,nday 可能是无法避免的。
还是不出意料的搜索到了后台 getshell 的 nday。远程命令执行 (rce 漏洞) 攻击者可以通过精心构造的语句来远程控制网络服务器,进而可以执行任何命令。
(其实应该是nday)
接下来,我们就开始漏洞利用吧。
关于漏洞的原理不再多说。首先,我们需要登录一个上传的接口,获取我们的 token 值。其中 Token 就在 html 当中。
获取了 Token 值,我们就可以构造 Payload 了 。
Payload结构如下:
域名 + /dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=<?php[PHP语句]?>&token=[Token值]
输入 payload 后,访问——
「域名+/include/taglib/moonsec.lib.php」。
可以回显执行的任何 php 命令。在这里我们可以插入一句话木马。
成功获得 Shell!
总结
我画了个思维导图
补充:之后的 Webshell 和获得信息泄露的不是同一个站,是一个可以说是镜像站,但是密码还是登进去了。
