《网络安全0-100》实战拿下某色情网站

前言

记录一次色情网站渗透经历，通过挖掘后台未授权登录以及文件上传getshell拿下服务器

真的太无聊了，

1.收集信息

经过了一些常规的信息收集获得了该目标ip，开放端口，app程序包，用的框架为thinkphp6.0.12，以及后台登录地址，开搞

 

 

 2.失败的漏洞利用

当时最有用的信息就是Thinkphp6.0.12，本想试试那个反序列化漏洞，但是没有成功（手工也试过了）

 3.找到未授权进入后台

于是转战后台：后台挺简单的一个页面，但是没有找到注入，验证码也是没有问题的，无法爆破，但是从返回数据包中我看到一些比较敏感的信息

 

这是要给前后端分离的网站，我感觉多半有未授权之类的，立马去看看前端代码，发现惊喜

$(document).keydown(function (event) {

if (event.keyCode == 13) {

$("#loginadmin").click();

}

});

 

$("#loginadmin").click(function(){

//获取input表单的值

var adname=$("input[name='adname']").val();

var password=$("input[name='password']").val();

 

if(adname.length<1) {

    layer.msg('管理员不能为空！',{offset: '150px' })

    return false;

    }

 

    if(password.length<6){

    layer.msg('密码不能小于六位数！',{offset: '150px' })

    return false;

    }

 

    $.ajax({

    type: "POST" ,

    dateType: 'json' ,

    url:"/admin/login/index.html",

    data:$(".login_form").serialize(),

    success: function(status){ //验证成功，进入后台

    if(status.code==1){

    layer.msg(status.msg,{offset: '150px' ,icon: 6},function() {

    top.location="/admin/index/index.html" ;

    });

    }; //密码错误

    if(status.code==2){

    layer.msg(status.msg,{offset: '150px' });

    var captcha_img=document.getElementById('captcha');

    captcha_img.src="/captcha.html?" +Math.random();

    $(".check").val('');

    $(".password").val('');

    } //管理员不存在

    if(status.code==3){

    layer.msg(status.msg,{offset: '150px' });

    var captcha_img=document.getElementById('captcha');

    captcha_img.src="/captcha.html?" +Math.random();

    $(".check").val('');

    $(".username").val('');

    $(".password").val('');

    } //验证码错误

    if(status.code==4){

    layer.msg(status.msg,{offset: '150px' });

    var captcha_img=document.getElementById('captcha');

    captcha_img.src="/captcha.html?" +Math.random();

    $(".check").val('');

    }

    }

    })

    })

 在这一段js代码中，清晰明了的逻辑，以及后端主页的地址，返回值为 1 就会跳转到后台，于是修改返回数据包 (这里可以直接访问后台地址)。

 

然后成功跳转后台，但是立马又跳转到登录页面，心想有机会，这次将burp全程一个一个包的放，当修改登录返回数据包的 code为 1 之后，会接着请求后台主页，并且后台主页的前端代码会成功返回，但是放过这个返回数据包后，浏览器还是没有渲染出页面，burp重放后接收的数据包也没有渲染出页面，好奇怪，猜测应该是有某个js代码导致的，于是我慢慢看那个后台的前端代码，发现了问题：

<script>

       window.location.href="/admin/login"

</script>

 

 就是因为这串代码，浏览器收到数据包后立马就去请求登录页面了，也就没有渲染页面，不管他，直接删了，成功进入后台页面，此时burp不能关，要不然还是会跳转到登录页面，之后的每一个数据包返回的数据都有那一串跳转到登录页的代码，都要删除。

 

 4.文件上传getshell

点击那个网站配置选项，出现了好东西，上传图片，本着试一试的想法，上马子

 先来个一句话，成功，看来后端没有限制

 但是某剑连不上，真奇怪

  换哥斯拉，成功连接

5.尝试提权

这个后台禁用了命令执行的函数，只有用哥斯拉的BypassDisableFunctions模块执行命令，先弹个sehll来耍耍，打开我的某某蛇，msf开个监听，哥斯拉PMeterpreter模块直接上线，但是不稳定，过一会就断了，后来经过师兄指点，还是用蛇生成木马上线来的稳定点

 拿到稳定的shell之后，开始提权，直接用CVE-2021-4034提权

 拿到root权限后，就可以做任何事情咯，找到宝塔面板，

 6.其他东西

直接翻数据库，找到管理员密码，可以试试撞其他地方的密码，MD5解密出来是一个弱密码，这要是能爆破，必成功呀

 其他就没啥有用的东西了，真可惜，估计东西都在那个app里面

7.总结

攻击路径：网站路径扫描找到后台地址 -> 数据包+前端代码审计发现后台未授权登录 -> 后台文件上传getshell -> CVE-2021-4034提权拿下主机