💡 万恶之源
這一切的一切得先從一個詐騙電話說起:主要是某天午休睡得正酣,突然接到個電話說是要指導我操作什麼借呗,而且對方有我詳細的資料。一番交談下來識破我是在胡扯,直接叫我拿著這胡編的幾十萬去嫖就掛了電話。
💡 開始操作
睡不著了就很氣、幹他。
先從對方電話號碼入手,發現很乾淨根本找不到什麼可利用的消息,只找到一個賣電話號碼的平台。
本來還想電話去套路下客服,發現網站留的信息都是假的。(應該也不是啥好平台)
簡單看了看網站首頁發現是專門賣黑卡給別人的,會有訂單記錄,那豈不是進了後台就能發現詐騙者信息了~
做了下簡單信息搜集內容如下:
網站中間件:shopnc 存在一個歷史注入漏洞
備案人信息:冯 x 186xxx
Kineditor 4.1.7:列目錄漏洞、爆路徑失敗、注入還讀不了文件
網站後台:/admin
按照這個師傅的思路開始注入:
http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2015-0143429
回顯的地方在收穫地址這裡,只能手工了;看了下數據庫的安裝路徑,好家夥這不是護衛神嗎?好像也不咋攔截我注入。
然後就糟心了 33hao_admin 表裡面密碼 md5 都加了鹽解不出來
我想著那就搞數據庫吧,3306 端口開放著。
Mysql 默認數據庫的 user 表裡面存有數據庫密碼…… 我是不是可以注入一下拿到密碼,一番憨憨操作還是解不出來。
氣得我把其他數據庫密碼都解了各遍,終於是發現管理員幾個可以解密的密碼、qq 號、163 郵箱、另一個手機號。
通過 tg 社工庫機器人把搜集到信息都查了一遍,後面找了個社工密碼生成工具弄了個社工字典去爆破
[email protected]
YGPYSFNTSFAIHAGE
axxxxx5555
xxs19226
xxxxx5555
fengrui
15145xxxx46@
15145xxxx46
mingduyuan
25歲12月28日
後台爆破,發現驗證碼無效,但是有登錄次數限制,學我魚神在 http 頭部內加了個 x-forwarded-for 頭部發現可以繞過登錄次數限制,這裡可以參考下 burp 的 fakeip 插件:https://www.jmwww.net/file/web/8617.html
主站後台沒爆破出來,都想放棄了,想到還有旁站沒看就也去爆破了下,還真就爆破出來一個。
在設置友情鏈接這裡可以上傳圖片,但是是白名單,後面亂翻、翻到個可以改文件上傳類型的功能,快樂~
然後又憨憨受阻了,上傳腳本文件會在後綴自動加下劃線,xxx._php,“淦”!
由於有 php 環境又有.net 環境所以就試了很多畸形後綴…cer、asa、pht…………… 最後發現 ashx 可以被解析且不會加下劃線。
傳了個 ashx 執行命令的馬… 秒殺,只能傳個生成文件的 ashx 後門,寫馬的話要免殺馬不然連不上。
這裡本來可以直接利用 ashx 寫文件馬寫入其他後綴免殺馬的,但是要轉義雙引號,轉義後就連不上了……
參考如下:
後面就改用傳 php 文件包含的方式,上傳一個 txt 馬,然後去文件包含解析。
用冰蝎鏈接後不能執行命令。
看了下 phpinfo disable functions 淦!
又是一番憨憨操作,win 服務器,太菜了弄不來,反應過來我只是需要進後台,不需要提權。這尼瑪 10 幾個網站源碼,主站 shopnc 裡面還沒有相應的數據庫配置文件存密碼,我翻了好久………
終於找到數據庫密碼,同時試了下主站後台也可以登錄…………… 然後就要查訂單了。
看了看時間,凌晨 1.39,該洗洗我的霸王睡覺了,不能再肝了再肝就要禿了。