一、前言
本次漏洞挖掘是用于记录某次实验中自建CMS靶场的漏洞挖掘情况。
二、信息收集
2.1 系统信息
目标URL:http://192.168.2.240:8007/
网站首页:
通过Wappalyzer判断出目标主机如下组件信息:
PHP 5.2.17、IIS 6.0、Windows Server操作系统
2.2 网站后台
1.使用御剑目录扫描,发现一个/System/目录存在。
经测试,发现为网站后台目录
三、漏洞记录
3.1 前台存储XSS
目标URL:http://192.168.2.240:8007/add_book.php
功能路径:在线留言->添加留言
1.通过在留言模块插入一段JS的alert弹框参数,成功弹出XSS弹窗。
2.在gbook.php查看留言页面,直接弹出XSS弹窗。
3.2 前台SQL注入
目标URL:http://192.168.2.240:8007/showproducts.php?id=12
1.通过sqlmap测试showproducts.php页面的id传参存在SQL注入。注入类型如下:时间盲注、布尔报错注入、union联合注入
2.构造如下payload,直接爆出数据库名。
http://192.168.2.240:8007/showproducts.php?id=-12%20union%20select%201,2,3,4,5,6,7,database(),9,10
3.3 后台弱密码
目标URL:http://192.168.2.240:8007/System/
admin:admin
1.网站后台存在弱密码,成功使用默认密码登录后台。(其实这里也可以通过前面的sql注入获取密码)
3.4 KindEditor编辑器列目录读取
目标URL:http://192.168.2.240:8007/System/xyeditor/php/file_manager_json.php?path=/
1.登录网站后台后,发现添加客户案例信息模块存在一个KindEditor编辑器,通过F12查看源码,读取出编辑器目录信息:http://192.168.2.240:8007/System/xyeditor/
2.访问编辑器目录下的php/file_manager_json.php?path=/,爆出网站的绝对路径:C:\Inetpub\wwwroot\8007-Mysql注入
3.5 IIS 6.0解析漏洞利用getshell
目标URL:http://192.168.2.240:8007/System/xyeditor/php/upload_json.php?dir=image
1.在添加客户案例信息模块尝试上传一句话木马,结果提示是不允许的扩展名。
2.通过之前收集到的系统信息,了解到当前中间件为IIS 6.0版本,可以尝试利用一波解析漏洞,将一句话木马文件更名为shell.php;a.jpg
3.成功上传,查看案例信息图片路径uploadfile/image/20231009/shell.php;a.jpg
4.访问shell图片路径,通过hackbar进行post传参传入phpinfo()函数,成功执行。
5.通过蚁剑webshell管理工具,成功连接和管理目标网站目录。