先扯淡再聊技术,不说说多了都是泪。没有图见谅,静下心看下文章,欢迎牛牛们补充思路。
目标站:cdn + 云锁 + 护卫神 + 星外主机 + 不支持aspx(目标windows)
目标站点,第一眼一直以为是phpcmsv9,访问任何网址会先进行cdn转向,有特定的特征,访问不存在的路径暴露网站绝对路径和服务器主机特征。
发现是iis7.5,星外虚拟主机,服务器主机特征有个29。
思路1:爆破后台
思路2:phpcms任意文件读取漏洞,跑子域名,日个旁站
思路3:跑子域名,日个旁站,查询cdn解析ip旁站, 试试突破exp提权 ,mysql低权限跨站读文件
思路1:有验证码但是可以burp直接绕过,未发现弱口令。 未能ko
就算有验证码也可以试试验证爆破软件(下载地址:)。
思路2: phpcmsv9.15以下任意文件读取漏洞,未能利用exp成功,未能ko
思路3: 日了个cdn解析ip下的旁站,根据cdn转向和物理路径判断出日下了旁站
现在手里的信息知道,目标的绝对路径,一个asp程序旁站shell。
尝试直接跨站物理路径访问,没权限。
支持asp和php,asp直接提示没有权限,上传自己上传的cmd.exe到很可能有执行权限的目录,也是一样提示没有权限不是拒绝访问,尝试上传多组件的aspshell(下载地址:)还是不能成功突破执行命令。
php 直接命令全部参数禁用,执行不成功命令, linux 早几天通过这个https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD 直接跨站读取旁站源数据库配置文件黑盒测试过一个目表。
乱翻服务器,D:\host\安装说明.txt 发现zkeys php安装说明中存在mysql账号root 密码:xxxxxx 清及时修改 运气真好
不出意外,root密码错误。
继续乱翻: D:\host\HwsKill\log\ 发现大量杀木马记录。搜索了一番没发现目标被杀shell记录。
继续翻:c:\users\下发现2020年中旬有iis_user用户登录服务器了,心一想,难道我以前日下过这个服务器吗,赶紧去查历史资料,未能发现记录(因为我最喜欢建立这个用户登录服务器了)
那么只能死马当活马试试了,收集自己历史资料 iis_user 对应的密码。这个时候又不能执行命令,没有办法用sr去验证了,尝试rootkit.asp(有时候权限恨死的时候就算正常密码正确也无法成功登录过)
当然没有登录成功,尝试burp抓包爆破,发现不好爆破,密码不正确可能性很大,权限很死不能登录性也很大,。目标是内网 又没办法转发,其实为了过waf 本地host加了目标的外网ip,cdn是突破成功了。
思路这个时候断了,那么继续日旁站吧 日个php的 最好aspx的(好像没看到aspx程序的和支持aspx的,访问404如果显示 net几点几说明支持aspx),找了个dedecms的站点,
弱口令进入后台,没有文件管理器,但是发现个sql命令执行,那么不需要拿shell了, 直接读本站配置文件成功,尝试目标不成功,mysql低权限跨站读文件也行不通了: https://www.cooyf.com/notes/6.html。
尝试旁站数据库多线程连接数据库,使mysql拒绝服务,从而泄露php站点源码(这个我linux上成功过)从而爆出数据库账号密码,也未能成功。
知道的信息2:数据库 账号和数据库名是一样的,密码为小写字母和数字组合8位。
思路4:日跟目标站一样路径程序的子域名站点,然后再想办法(譬如特有后台地址)
发现两个弱口令后台,知道程序是onethink1.1几,知道拿下目标站后台就能直接完成目标,
onethink 漏洞1:后台注入绕过 OneThink前台注入分析 - 0DayBug - 博客园
漏洞2:后台插件getshell 记の通过OneThink绕过登录身份验证漏洞Get Shell · 语雀
漏洞3:前台缓存拿shell 【旧论坛文章】onethink最新通杀getshell定位分析
这两个子域名站点 后台绕过漏洞不存在,缓存目录目标不存在,但是后台插件getshell可行,拿下两个子域shell
分析下手里的这两个站后台功能和shell
后台加用户抓包 直接post目标 不成功。
后台存在备份,格式是 年月日-时分秒-1.sql.gz(拿下的这个是linux服务器)配合webshell知道路径地址 /data/年月日-时分秒-1.sql.gz (这个爆破组合有点大也有网址 日期随机生成计算器 - 计算专家 )
webshell下发现站点目录存在/.svn/ 尝试目标站点确实存在/.svn/ 心想能拿到数据库配置文件 目标就拿下了,但是 iis7 /.svn/entires 访问是404因为没有映射不然下载,/.svn/wc.db 云锁禁止访问。
思路又断了。
已经过了cdn不封IP了,转回来看目标站,https访问提示可以自己绑定 证书,且提示可能会使防护失效,自己申请了一个(CSR在线生成工具 ) 给他绑定了,发现还是不能https访问目标站点,
直接搞目标外网ip服务器,控制面板是 Kangle* easyPanel,3312端口一个/vhost/ & /admin/ 未发现弱口令任意下载和绕过漏洞,未能有所突破。
司马当活马医 awvs10.5直接开扫, 我比较喜欢用这个低版本的扫目标(因为速度快)。竟然发现一个 延时盲注还有个http.sys漏洞。期间各种网上公布yunsuo_bypass还是没办法sqlmap,改包类型,chunk分包,垃圾数据填充还是无果。fuzz到一半,发现havij竟然可以注入出数据。得到数据库名和后台登录账号密码,32位的一直以为使md5,cmd5没有接出来(因为他这个数据库里面还有一个admin的表密码是md5解出来了,发现不是后台密码,我感觉是迷惑用的)。本地hashcat爆破也没有出来(自己搜索网站所有字典生成了一个800多M的密码库没去重复下载地址:链接:文件分享 密码:dzkmg7)还有网上28G的,还下载了一个120多G彩虹表。
通过信息收集各种弱口令制作:
在线 密码字典生成器|CTF论坛-Tools 或 http://xingchen.pythonanywhere.com/index
软件:GitHub - HongLuDianXue/BaiLu-SED-Tool: 白鹿社工字典生成器,灵活与易用兼顾。
http.sys没办法利用,注入点update密码提示ok但是还是不成功,云锁还拦,执行sql利用mysql低权限想读文件不可行,不抱希望缓慢出数据就很不错了。
想通过注入拖慢且拖出不来目标表。
云锁不拦截rar和gz 。然而通过注入导出记录时间当天,生成记录日期 到秒(一个小时内容)字典,存在data/目录及 /data/backup/ 未能扫到备份,
配合知道的数据库名,利用随机生成8位字母和数字密码 去爆破(能成功比中500W几率还小,哈哈)真的是一点办法都没有。
然后利用匿名发送邮件给管理员:内容自己伪造官方一点 根据阿里云服务器被入侵提示去写,异常ip访问后台,切记不要写让管理员修改密码。 通过注入有email信息获取邮箱了(本来想伪造的但是没有啊,有个匿名的 moakt.com/zh/mail/compose 可以qq接收到)
把程序代码下载配合数据库分析,onethink加密不是md5,之前的工作都白忙乎了。因为已知的弱口令,在数据库中的md5值解不出来。
在配置文件 \Application\Common\Conf\config.php //存在默认数据加密KEY。
发现拿下的两个shell 对应的加密是一样的 ,而且弱口令密文也是一样的,应该目标的key是一样的,百度一翻onethink加密解密。发现有人写过解密脚本 onethink 密码爆破脚本 - 轻落语 - 博客园
问题:我用python脚本,修改自己对应的key和md5值 无法发现弱口令明文 不能直接只能本地字典爆破。
继续查看程序加密方式,修改脚本。
最后的思路: 修改本地脚本通过本地的字典 配置 md5值匹配明文。
最后一次收集密码,生成字典进行后台爆破
最终结果如何:敬请期待。欢迎补充思路,谢谢。
其他工具补充下载地址:链接:文件分享 密码:mfg8tv(内容提到的你可以在里面找找,工具是网上找的可能有后门,脚本自己查看好内容在使用,本人绝对不会留)
还有护卫神之类的过waf 的shell 有些能直接过有些只要别的格式能传上去可以用包含rar 比较好过。