阿峰博客 阿峰'S blog

  • 首页
  • 新闻资讯
    • IT新闻
    • 安全资讯
  • 信息安全
    • WEB安全
    • 系统安全
    • 终端安全
    • 安全工具
  • 建站优化
    • 网站优化
    • 网络营销
  • 资源共享
  • 关于博客
    • 申请友链
    • 在线投稿
不忘初心,砥砺前行。
  1. 首页
  2. 信息安全
  3. 正文

对某织梦dedecms网站的渗透 后台+shell+提权

2013 年 3 月 13 日 3997点热度 0人点赞 4条评论

作者:阿峰
博客:www.afeng.org
转载请注明。

先说一下目标,本来是渗透某链接网站,专门给网站挂链接的那种,一次收费20元,免审核。流量超大,排名很高的那种网站...
手工尝试一下常见目录和后台,没有发现,目测也看不出是啥cms,看一下robots.txt,竟然没有,无果。
所话说,知己知彼,百战不殆。只有对目标了如指掌了,才能得心应手的去ooxx。
继续逛,发现了这个主站有很多旗下网站,就打开看看,xx站长网,内容也很多站长资讯,网站建设,SE教程等等吧,
在网站的右上角有【用户登录】,果断点开看看...

竟然logo都没修过...无语了...细节绝对成败...好吧,果断上exp

/plus/search.php?keyword=as&typeArr[111%[email protected]%60\%27%60%29+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%60%[email protected]__admin%60%[email protected]%60\%27%60+]=a

直接爆出账户和密码来了,我尽量写点详细点吧...
得到的是20位的MD5,去掉前3位和最后1位,然后就是16位的MD5值了,解之,得到了密码。

说到这里,基本上没有亮点,大多数的DEDE站都能爆出账号和密码,但是,同样大多数网站都把后台地址修改了啊。
输入dede回车,果然没有。
好吧,来试试老版本爆织梦路径的方法吧,
/include/dialog/select_soft.php
/include/dialog/config.php
include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p

提示需要输入后台地址,无果,再换一个方法:
/data/mysql_error_trace.inc
此文件记录mysql查询错误,如果有后台查询出现错误,则会暴露后台路径。
输入回车后,啥也没显示,蛋蛋疼了吧...

看了看robots.txt,很明显是织梦默认的robots,但是没有发现后台地址...
用工具扫一下吧...
一般被修改了默认后台地址的,用工具扫出来的几率几乎为0,因为把dede修改为常见的admin等类似地址,
等于没修改,但我们不能放过任何一个机会,边扫边手工尝试几个...
尝试了网站名字,跟拼音首字母,也无果,工具也扫完了,no found !
既然是某某旗下网站,那尝试一下主站的名字吧,也无果,继续各种尝试ing....
打算准备放弃了,最后把域名复制了一下,回车后,竟然来到了熟悉的登录框...
登录之~
织梦后台拿shell的方法很多,文件管理器里面没有东东,那就新建模板吧。
【模版】----【默认模板管理】----【上传模板】---【选择文件】

将php大马或者一句话修改为fuck.php;.htm,然后上传...

上传后,可以直接打开...

打开我们的马...下一步,提权...
对于php网站,我一般用mysql提权,但是前提必须的root权限,好,来看一下:
/data/config.file.inc.php

编辑---可以看到数据库信息,数据库名,用户,密码等,没有让我失望,是root权限,哈哈..
打开mysql提权,输入密码,安装DLL,如图:

提示安装成功...
执行 ver 回显:

Microsoft Windows [版本 5.2.3790]

succeed!
然后添加账户,提升管理组,各种成功。
远程连接,显示登陆页面,竟然开了3389端口,呵呵,...又省事了

发现是一个VPS,旗下网站都在这上面,没有主站,但上面也有好几千人的数据...

做了一下总结:并通知了的管理员,也希望大家在运维的时候注意一下。
1,后台地址还不够隐蔽,继续换。
2,网站管理员密码不够,虽然收费,但还是能够解出来的。
3,网站数据库尽量不要使用root,给提权提供便道,建议使用啊D的降权工具。
4,3389端口太明显了,哪怕换一个也行啊。

 

标签: 后台+shell+提权 织梦dedecms
最后更新:2013 年 3 月 13 日

阿峰

保持饥渴的专注,追求最佳的品质

点赞
< 上一篇
下一篇 >

文章评论

  • 10371178

    你用的那个提权工具能共享不?可以的话发我邮箱 :smile:

    2013 年 3 月 14 日
    回复
    • feng

      @10371178 php大马

      2013 年 3 月 14 日
      回复
  • 小白

    主要还是后台不大好找,以上只是你运气好闷对了,如果不好呢?求找后台的方法。

    2013 年 7 月 10 日
    回复
  • 谢浩

    没工具整不了,求提权大马,发我邮箱,谢了!

    2013 年 8 月 8 日
    回复
  • 取消回复

    标签聚合
    xss漏洞 perl Wordpress 工具 端口扫描 渗透测试 网络安全 关键字
    最近评论
    发布于 2 年前(07月07日) 小哥,可以帮忙把我的友链修改为 https://feifanblog.com 么?谢谢啦~
    发布于 3 年前(07月23日) top.document.body.innerHTML=""; 这个是1.js 还是xss ...
    发布于 3 年前(11月22日) 看错了,还以为是你买的register.com呢。。。
    发布于 3 年前(10月22日) 大佬 求sql 放正系统注入工具
    发布于 4 年前(05月27日) 感觉还是非常复杂的呢。。。。

    COPYRIGHT © 2021 阿峰博客 阿峰'S blog. ALL RIGHTS RESERVED.

    本站发布的内容仅限于学习和研究,请勿用于非法渗透和攻击,否则一切后果请自负;遵守法律法规,做一个合格的安全从业者。