前言
说来话长, 在一个月黑风高的晚上,突然接到一个渗透任务,貌似还挺急,在客户充分授权的情况下,便连夜进行测试。
由于本次渗透时间紧任务重,以拿权限为主,信息收集时需要格外仔细,端口、C段、指纹、路径、fofa、目录、github、网盘等等,有关信息进行收集,当然了403,404,nginx等页面也是屡见不鲜了,故事的开始要从一个403页面开始,也许在坚硬的403下,当你一层一层剥开他的目录的时候,你会发现意想不到的惊喜。不多废话,直接正文
正文开局一个403,后面目录全靠扫,不要问我为什么是这个403,我只能说直觉告诉我这个页面并不简单。
目录扫描
发现admin目录。
访问admin目录,发现是一个后台登录页面,
先收集一下信息,利用whatweb来收集指纹信息,看一看有没有已知漏洞,不过很遗憾没有查到已知漏洞,而且这个cms还是最新版本
回来看一下还没有验证码,看来可以来一波弱口令爆破,果断上字典撸它一波,很遗憾,没有爆出来,
根据客户信息,搜集一波,尝试利用收集到的人名信息配合弱口令生成一个新的字典。
运气不错,原来密码是名字+键盘密码
进入后台先看看有啥能利用的功能点
编辑栏目处,发现一个可以文件上传的点。
先上传一波正常文件,访问,一切正常。
换成一句话,上传php,很可惜,有一定的限制,没有成功,尝试了各种方法,双写,大小写,垃圾字符,截断,换行,双filename等等,很遗憾,通通失败。
其他地方也没什么发现,此时一度陷入僵局,既然知道用的什么cms了,本地搭建环境,代码审计看看有没有什么可利用的漏洞。
代码审计发现备份数据的地方可以执行sql语句。
文件位置app->system->databack->admin->index.class.php的581行是关键地方。