作者:阿峰
博客:www.afeng.org
转载请注明。
先说一下目标,本来是渗透某链接网站,专门给网站挂链接的那种,一次收费20元,免审核。流量超大,排名很高的那种网站...
手工尝试一下常见目录和后台,没有发现,目测也看不出是啥cms,看一下robots.txt,竟然没有,无果。
所话说,知己知彼,百战不殆。只有对目标了如指掌了,才能得心应手的去ooxx。
继续逛,发现了这个主站有很多旗下网站,就打开看看,xx站长网,内容也很多站长资讯,网站建设,SE教程等等吧,
在网站的右上角有【用户登录】,果断点开看看...
竟然logo都没修过...无语了...细节绝对成败...好吧,果断上exp
/plus/search.php?keyword=as&typeArr[111%[email protected]%60\%27%60%29+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%60%[email protected]__admin%60%[email protected]%60\%27%60+]=a
直接爆出账户和密码来了,我尽量写点详细点吧...
得到的是20位的MD5,去掉前3位和最后1位,然后就是16位的MD5值了,解之,得到了密码。
说到这里,基本上没有亮点,大多数的DEDE站都能爆出账号和密码,但是,同样大多数网站都把后台地址修改了啊。
输入dede回车,果然没有。
好吧,来试试老版本爆织梦路径的方法吧,
/include/dialog/select_soft.php
/include/dialog/config.php
include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p
提示需要输入后台地址,无果,再换一个方法:
/data/mysql_error_trace.inc
此文件记录mysql查询错误,如果有后台查询出现错误,则会暴露后台路径。
输入回车后,啥也没显示,蛋蛋疼了吧...
看了看robots.txt,很明显是织梦默认的robots,但是没有发现后台地址...
用工具扫一下吧...
一般被修改了默认后台地址的,用工具扫出来的几率几乎为0,因为把dede修改为常见的admin等类似地址,
等于没修改,但我们不能放过任何一个机会,边扫边手工尝试几个...
尝试了网站名字,跟拼音首字母,也无果,工具也扫完了,no found !
既然是某某旗下网站,那尝试一下主站的名字吧,也无果,继续各种尝试ing....
打算准备放弃了,最后把域名复制了一下,回车后,竟然来到了熟悉的登录框...
登录之~
织梦后台拿shell的方法很多,文件管理器里面没有东东,那就新建模板吧。
【模版】----【默认模板管理】----【上传模板】---【选择文件】
将php大马或者一句话修改为fuck.php;.htm,然后上传...
上传后,可以直接打开...
打开我们的马...下一步,提权...
对于php网站,我一般用mysql提权,但是前提必须的root权限,好,来看一下:
/data/config.file.inc.php
编辑---可以看到数据库信息,数据库名,用户,密码等,没有让我失望,是root权限,哈哈..
打开mysql提权,输入密码,安装DLL,如图:
提示安装成功...
执行 ver 回显:
Microsoft Windows [版本 5.2.3790]
succeed!
然后添加账户,提升管理组,各种成功。
远程连接,显示登陆页面,竟然开了3389端口,呵呵,...又省事了
发现是一个VPS,旗下网站都在这上面,没有主站,但上面也有好几千人的数据...
做了一下总结:并通知了的管理员,也希望大家在运维的时候注意一下。
1,后台地址还不够隐蔽,继续换。
2,网站管理员密码不够,虽然收费,但还是能够解出来的。
3,网站数据库尽量不要使用root,给提权提供便道,建议使用啊D的降权工具。
4,3389端口太明显了,哪怕换一个也行啊。
文章评论
你用的那个提权工具能共享不?可以的话发我邮箱
@10371178 php大马
主要还是后台不大好找,以上只是你运气好闷对了,如果不好呢?求找后台的方法。
没工具整不了,求提权大马,发我邮箱,谢了!