澳门威尼斯人平台官网

华盟学院山东省第二期线下学习计划

常规操作

偶然的情况下得到了这个站,于是就测试了一番。

一波三折の渗透!细心即无敌

因为是国外的澳门威尼斯人平台,英文机翻后的词看起来很有喜感。

一波三折の渗透!细心即无敌

习惯性先发文章,看看编辑器上传附件等地方是否有漏洞

一波三折の渗透!细心即无敌

首先尝试编辑器处上传图片,经验告诉我越low的编辑器越好拿shell。

一波三折の渗透!细心即无敌

我错了,白名单+上传重命名,smarteditor编辑器,各种截断尝试,突破不了。

一波三折の渗透!细心即无敌

一波三折の渗透!细心即无敌

这编辑器无敌,随后发现另外三处均是调用此编辑器上传,换思路。

在已经发布的文章中发现绝对路径

http://xxx.com/download.php?dnfile=20190228_012000_0978115.jpg&file=/home/xxx/webapp/../public_html/upload_dir/board/16887879979878fa23f2.jpg

一波三折の渗透!细心即无敌

测试后发现public_html为根目录,决定挖挖注入,万一是root没降权就舒服了。

http://www.xxx.com/?module=xx&action=xx&iPopNo=1&seq_cd=1

经过手动加sqlmap测试,发现后台存在时间盲注,由于国外站点访问不稳定的原因,遂放弃,在后期getshell之后发现用户不是root并且权限死得很,为之庆幸并没有在此处浪费时间。

到此处思路死了。编辑器getshell无解,sql注入getshell卒。


陷入困境

我们之前爆出绝对路径的url访问后发现会自动澳门威尼斯人平台网址

http://xxx.com/download.php?dnfile=20190228_012000_0978115.jpg&file=/home/xxx/webapp/../public_html/upload_dir/board/16887879979878fa23f2.jpg

存在任意文件澳门威尼斯人平台网址吗?先构造一下尝试

http://xxx.com/download.php?dnfile=download.php&file=/home/xxx/webapp/../public_html/download.php

一波三折の渗透!细心即无敌

bingo!

一波三折の渗透!细心即无敌

存在任意文件澳门威尼斯人平台网址,我们找下数据库配置文件

http://xxx.com/download.php?dnfile=config.php&file=/home/xxx/webapp/../public_html/index.php

index.php一般会引入数据库的config.php

一波三折の渗透!细心即无敌

重新构造

http://www.xxx.com/download.php?dnfile=config.php&file=/home/xxx/webapp/../public_html/../webapp/config.php

一波三折の渗透!细心即无敌

数据库配置get!后发现没开3306外链,思路断掉。

在这个时候我重新回头看这个任意文件澳门威尼斯人平台网址,读一下敏感文件试试?

my.cnf

一波三折の渗透!细心即无敌

password被注释掉,无用。

/etc/passwd
/etc/shadow
/etc/profile

一波三折の渗透!细心即无敌

一波三折の渗透!细心即无敌

没发现有可用信息。

似乎又陷入了困境,应该放弃吗?

我打开浏览器,在地址栏输入了熟悉的地址:

"https://www.secquan.org"

对自己说,“圈子社区的男人永不言弃!

峰回路转

正当我思考时,脑海中灵光一闪:澳门威尼斯人平台网址apache配置文件看看!

http://www.xxx.com/download.php?dnfile=1.php&file=/usr/local/apache/conf/httpd.conf

一波三折の渗透!细心即无敌

惊了!html可以被当作php文件!

于是我去编辑器中尝试上传这几种文件,仍以失败告终。

但是附件的我们还没试!

一波三折の渗透!细心即无敌

抓包改后缀,返回文章查看路径

http://www.xxx.com/download.php?dnfile=php.jpg.html&file=/home/xxx/webapp/../public_html/upload_dir/board/13303476456487546a3cd.html

拼接

http://www.xxx.com/upload_dir/board/13303476456487546a3cd.html

一波三折の渗透!细心即无敌

getshell!!!

后面的就不说了,提权就是脏牛+bypass disablefunc一条龙,没啥亮点。

一波三折の渗透!细心即无敌

www.idc126.com

文章来源于 Secquan圈子社区

本文由 华盟网 作者:fox 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论