记一次难忘的渗透测试

0*00前言

前几天，我一个朋友叫我帮忙测试一下他们公司的网站，本来我是不愿意的，但是无奈被一顿火锅收买了。

0*01信息收集

环境是php+apache

端口扫描

御剑扫一波目录御剑，

发现

robots.txt

后台登陆admin/login.php

数据库后台db_create.php...

坑。点进去全部重定向到首页。

后来想到可能是设置redirect重定向方式。

0*02渗透测试

查找注入点，一般是在资讯新闻，手工简单测试，单引号，双引号，and1=1 和and1=2.明显不行。

点击各模块，猜命名模板

代理为dl资讯为zx会员登陆为user企业为company

模板为首字母缩写和英文近译

那我们找一下登陆后台和数据库管理、文件上传等目录

后台尝试admin、login、ht最后发现adminlogin为后台目录

还顺便发现是zzcms的，挂不得挺熟悉的。到这里基本成功在望。

那就好办了，百度cms解析漏洞，一大堆

1）任意文件上传点

/uploadimg_form.php

确实存在，不过可能设置了session,需要会员权限

那需要管账号密码

2）重置密码

/one/getpassword.php

看来想多了，页面不存在，注册也没有开通。看来文件上传这条路不行

看来站长安全意识还算好，把网络上的解析漏洞都给补了。

3）User/del.phppost注入无效

好吧，我承认我真的把一些大佬的exp全部试过了。

我深吸一口气，重新整理思路

Adminlogin为后台目录

继续猜数据库目录

Phpyaadmin无果，抱着运气试下Phpmyadminlogin哈哈真的是它

尝试万能密码

‘localhost’@'@”登录失败

那应该不是2.11.3/ 2.11.4版本

那就看看弱口令

居然直接root,xxxxx（此处为网站域名）进入，果然多年留下来的习惯还是可以的...

思路1：直接找到后台账号密码，那就可以在登陆后台

思路2：直接在user表找到或添加会员账号

可以利用前面的解析漏洞：任意文件上传配合burpsuite抓包改包传shell。

会员账号密码vested123vested123

登陆会员

这时可以发现/uploadimg_form.php可以上传文件

上传图片马1.gif

抓包

Forword

返回shell

菜刀连接

Whoami直接是adminstrator权限

远程桌面就不继续了，就到这里吧

0*03总结

弱口令，补丁要多点打，虽然过程有些坑，但还是拿下了。我要去吃火锅了！

声明

文章仅用于普及网络安全知识，提高小伙伴的安全意识的同时介绍常见漏洞的特征等，若读者因此做出危害网络安全的行为后果自负，与合天智汇以及原作者无关，特此声明！

看不过瘾？合天2017年度干货精华请点击【精华】2017年度合天网安干货集锦

别忘了投稿哦！

合天智汇公众号原创稿件征集！

大家有好的技术原创文章，

欢迎投稿至邮箱：[email protected]

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哟。

有才能的你快来投稿吧！

点击了解投稿详情重金悬赏 | 合天原创投稿等你来！

课程推荐时间（via合天网安实验室）

1、渗透信息安全基础

http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041813340900001

2、渗透Web安全基础

http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916022200001

3、渗透综合场景演练

http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916244000001