这个小学生,竟然把学校的网站搞了!
程序員的成長(zhǎng)之路
互聯(lián)網(wǎng)/程序員/技術(shù)/資料共享?
關(guān)注
閱讀本文大概需要 4?分鐘。
來自:編程技術(shù)宇宙
今天這篇文章來源于知乎上一個(gè)叫Ret2Rttr的分享,作者自稱是一名六年級(jí)的小學(xué)生。文章主要記錄的是他針對(duì)自己學(xué)校網(wǎng)站的一次滲透測(cè)試,過程非常有趣,所以分享給各位讀者朋友。
上周三,閑著無聊,準(zhǔn)備上學(xué)校網(wǎng)站看看,想我這種Pwn狗,自然是對(duì)Web沒啥希望了。。但是,我還是覺得上學(xué)校網(wǎng)站看看 說不定呢~ 所以 我上了學(xué)校網(wǎng)站 開始了滲透......
Stage 1:信息收集
無聊的我登錄上了學(xué)校主站 說實(shí)在找不到啥突破點(diǎn) 連個(gè)能交互的地方都沒有...
主站這條路死了
所以我準(zhǔn)備從其他角度來思考這個(gè)問題。于是,我打開了fofa看看有沒有啥子域名之類的。結(jié)果,hiehie 找到了學(xué)校培訓(xùn)部門的一個(gè)網(wǎng)站。
根據(jù)我對(duì)學(xué)校的理解,我們學(xué)校是肯定不可能自己做模板的?應(yīng)該是運(yùn)用了其他的cms來建站的,而所謂cms也就是其他的一些網(wǎng)站模板,具體可以是博客、商業(yè)化站之類的。打開了代理,dns開了,就用御劍掃描工具掃了一些。hhh 還真的掃描出來了!
dedecms?! 織夢(mèng)csm,非常古老的的cms了。我記得可能在我出生之前可能就存在了。那么,問題就出現(xiàn)了。越古老的模板一般都會(huì)擁有一些通用性的漏洞。而通用性的漏洞 可能會(huì)導(dǎo)致網(wǎng)站機(jī)密性、完整性的威脅。其中,我們把這些通用性漏洞這樣分開:
0day 指被發(fā)現(xiàn)但未被修復(fù)過的漏洞
1day 指被發(fā)現(xiàn)且被修復(fù),但是由于漏洞發(fā)現(xiàn)時(shí)間比較早,補(bǔ)丁普及不完整的漏洞
nday 指發(fā)現(xiàn)且被修復(fù)的漏洞,通用性較低,因?yàn)槁┒葱迯?fù)已經(jīng)較長(zhǎng)時(shí)間,一般只有長(zhǎng)期不更新的廠家才會(huì)中招** 于是,我開始了我的漏洞尋找之路。
版本號(hào)確定?
一開始,我就被網(wǎng)站的留言板塊吸引了。一般來說都會(huì)存在XSS漏洞。XSS攻擊是指惡意攻擊者往Web頁面里插入惡意Script代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中Web里面的Script代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的 也就是說XSS漏洞就像是一個(gè)捕獸夾,當(dāng)具有管理員權(quán)限的站長(zhǎng)訪問被植入XSS腳本的網(wǎng)頁時(shí),可能會(huì)被盜取權(quán)限。
準(zhǔn)備了攻擊載荷,雖然可能性小但是還是準(zhǔn)備試一試。但是在留言之后有一段動(dòng)畫。我看了看,好像爆了CMS版本!我打開手機(jī)慢動(dòng)作,拍了下來上面寫著:
確認(rèn)了版本號(hào),找針對(duì)這個(gè)版本的通用性漏洞就不難了。所以,我打開了珍藏已久的DEDEcms掃描器~?看看有沒有nday漏洞。
Stage 2:漏洞利用
經(jīng)過漫長(zhǎng)的等待 好像似乎掃描到了一個(gè)nday 于是 我打開了nday掃描中的url 似乎好像有信息泄露漏洞!
INSERT?INTO?`dede_member`?VALUES('1','xxxx','admin','2604ccf7b8a4a852cxxxxxxxx','admin','xxx','100','0','0','0','xxxxxxx@qq.com','10000','10','0','','0','','xxxxxx','','xxxxxxx79','xxxxxxx','-1');這好像是sql數(shù)據(jù)庫的備份 里面記錄了 admin 賬號(hào)的登錄md5加密后密碼 其實(shí) 一般網(wǎng)站的登錄密碼校正就是和數(shù)據(jù)庫中使用同一加密算法加密過的密文來做比對(duì) 所以說 我們只需要逆向破解這串md5密文 我們就可以獲得admin賬號(hào)密碼
通過md5解密之后,我們成功的獲得了賬戶的密碼。其中為了機(jī)密性考慮,我沒有辦法把密文給你們看。但是,我們已經(jīng)獲得了賬戶的密碼。現(xiàn)在,我們可以登錄剛剛我們御劍掃描到的子站后臺(tái)了。
不出意料的我們登錄了后臺(tái)。但是,我們的滲透還沒有結(jié)束。現(xiàn)在,我們需要獲得整個(gè)網(wǎng)站的shell權(quán)限,也就是服務(wù)器的權(quán)限。
Stage 3:后滲透
在前面我們提及到nday這個(gè)概念,而像這個(gè)版本的織夢(mèng)cms,nday可能是無法避免的。而還是不出意料的我們搜索到了后臺(tái)getshell的nday。遠(yuǎn)程命令執(zhí)行 (rce漏洞) 攻擊者可以通過精心構(gòu)造的語句來遠(yuǎn)程控制網(wǎng)絡(luò)服務(wù)器,可以執(zhí)行任何命令。
(其實(shí)應(yīng)該是nday)
接下來,我們就開始漏洞利用吧。
漏洞利用
關(guān)于漏洞的原理不再多說。-->DedeCMS V5.7 SP2后臺(tái)存在代碼執(zhí)行漏洞 - 0DayBug - 博客園 (cnblogs.com)。首先,我們需要登錄一個(gè)上傳的接口,獲取我們的token值。其中Token就在html當(dāng)中
獲取了Token值,我們就可以構(gòu)造Payload了?。payload結(jié)構(gòu)如下。
域名?+?/dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=<?php[PHP語句]?>&token=[Token值]輸入payload后 訪問
域名+/include/taglib/moonsec.lib.php
可以回顯執(zhí)行的任何php命令。在這里我們可以插入一句話木馬。
成功獲得Shell!
總結(jié)
我畫了個(gè)思維導(dǎo)圖
補(bǔ)充:之后的Webshell和獲得信息泄露的不是同一個(gè)站,是一個(gè)可以說是鏡像站,但是密碼還是登進(jìn)去了。
<END>
推薦閱讀:
北大韋神透露現(xiàn)狀:自己課講得不太好,中期學(xué)生退課后就剩下5、6個(gè)人...
西安一碼通到底是通過后端下發(fā)圖片的嗎?新笑話:CPU轉(zhuǎn)速過高導(dǎo)致內(nèi)存溢出?
互聯(lián)網(wǎng)初中高級(jí)大廠面試題(9個(gè)G)
內(nèi)容包含Java基礎(chǔ)、JavaWeb、MySQL性能優(yōu)化、JVM、鎖、百萬并發(fā)、消息隊(duì)列、高性能緩存、反射、Spring全家桶原理、微服務(wù)、Zookeeper、數(shù)據(jù)結(jié)構(gòu)、限流熔斷降級(jí)......等技術(shù)棧!
?戳閱讀原文領(lǐng)取!? ? ? ? ? ? ? ??? ??? ? ? ? ? ? ? ? ? ?朕已閱?
總結(jié)
以上是生活随笔為你收集整理的这个小学生,竟然把学校的网站搞了!的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux性能测试命令系列(3)- ps
- 下一篇: 程序员要失业了… 输入图片,输出代码,一