CMS系统漏洞分析溯源(第6题)
时间:2025-01-06 作者:zhankehua 评论:0 点击:139 次
启动靶机,访问后显示的是这个页面,根据题的提示,首先用web目录扫描工具进行扫描。我用的是kali下的dirburster,目录字典是自带的。
![Image [1].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736168812441974.png "Image [1].png")
扫描结果如下图,然后逐一测试,看是否能访问,是否能找到后台登录界面。
![Image [2].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736168834889389.png "Image [2].png")
当测试到这一地址(http://124.70.71.251:49521/servlets/page.php)时,
![Image [3].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736168863211786.png "Image [3].png")
显示如下页面。
![Image [4].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736168889135292.png "Image [4].png")
这应该就是后台登录页面了。
首先想到的是登录密码暴力破解,那用户名是什么呢?肯定不是admin。那仔细观察首面,看到了2个账号信息,分别为:mozhe666和mozhe777
![Image [5].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736168908190133.png "Image [5].png")
那就使用burp suite进行破解吧。
![Image [6].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736168938512425.png "Image [6].png")
![Image [7].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736168959926154.png "Image [7].png")
遍历结束,未发现密码。
![Image [8].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736168993950665.png "Image [8].png")
再用mozhe777这个账号试试,发现有个密码,输入后,reponse的信息长度有变化
![Image [9].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169016154658.png "Image [9].png")
那就用这个密码登录试试
嘿,登录成功了!!!
![Image [10].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169035187111.png "Image [10].png")
那现在怎么把shell放上去呢?我测试在头像上传php文件,被拒绝,只能上传图片,找到上传zip文件的地方,也只能上传压缩包,整体系统应该不存在上传漏洞。
研究了一下午,发现数据这页里面有备份和导入功能。
![Image [11].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169057183369.png "Image [11].png")
那我是不是可以先备份下来,然后再修改sql语句,利用mysql写入一句话木马呢?
那就先备份一下数据库,看看是什么内容。结果是这样的内容 ,那我改改sql语句,看看是否能够成功写入木马。
![Image [12].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169073202322.png "Image [12].png")
在写入木马之前,这里还有一个问题,这个网站的物理地址是什么呢?哪里有这个信息呢,于是又去网站找了一翻,嘿,竟然找了近1个小时。
![Image [13].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169136137684.png "Image [13].png")
找到了这个页面。
![Image [14].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169157181652.png "Image [14].png")
有了这个绝对地址,那就好办了。把备份下来的sql文件修改一下。我是在最后添加了这样一句话:
![Image [15].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169190285278.png "Image [15].png")
然后导入
![Image [16].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169212343801.png "Image [16].png")
访问一下试试,确实已写入成功
![Image [17].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169231492503.png "Image [17].png")
使用蚊剑进行连接
![Image [18].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169252159259.png "Image [18].png")
现在可以随意访问了。
在系统的根目录找到KEY
![Image [19].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169275130141.png "Image [19].png")
![Image [20].png](http://www.itsec365.cn/zb_users/upload/2025/01/202501061736169282205959.png "Image [20].png")
好了,要休息了,2025-01-06 21:15!!!!
本文标签:
转载请注明出处: http://www.itsec365.cn/?id=76
- 上一篇:SQL过滤字符后手工注入漏洞测试(第3题)
- 下一篇:
已有 139 位网友参与,快来吐槽:
发表评论