资讯专栏INFORMATION COLUMN

【网络安全】记一次挖洞的日常

姘搁『 / 1422人阅读

摘要:前言上个月月初开始,在那些项目结束之后进入了挖洞时期,每天的日常工作就是挖洞,除非有临时的项目才会停下,最近在整理报告,发现了这个站,还是挺有意思的。

前言:上个月月初开始,在那些项目结束之后进入了挖洞时期,每天的日常工作就是挖洞,除非有临时的项目才会停下,最近在整理报告,发现了这个站,还是挺有意思的。

信息收集

从fofa上找到了这个站点,叫做fastadmin,是基于Thinkphp5和bootstrap开发的后台框架,常规思路找一下后台,根据经验,没意外的话php的站点基本都是根路径后加个admin就可以找到了

getshell

常规手段弱口令先打一波,不行再试试SQL注入
弱口令admin/123456成功进入后台

因为结合了tp5框架,想到可能可以用tp5的RCE直接命令执行,再利用file_put_contents写入shell,就直接来试试

没有成功…

应该是因为不是纯tp5框架二次开发的,所以打不通,而且tp5的RCE洞网上分析文章到处飞,估计开发应该也已经修掉了,那就只能另外找口子了

翻了一翻可以上传文件的点很多,试了其中一个,分类管理处可以添加品牌,并且有两个上传的点

尝试上传一句话,直接以php结尾,上传失败,常规绕过手段,修改content-type为image/png,成功上传

shell传上去就好办了,直接命令执行列一下目录,不出意外失败了,应该是禁用了命令执行函数

看一下phpinfo,发现存在fpm/fastcgi,可以借助这个点绕过disable_function,达到命令执行的目的,再看一下

disable_functions里禁用的函数方法,扫了一眼我常用的都在里面了,就不细看了,想办法绕过就完事了

再绕之前先用蚁剑连接一下,可以翻目录,那就不要改马来绕过目录翻阅限制了,先找到php-fpm配置文件的位置,从前面可以知道php是7.2版本的,这台服务器上有好几个版本的php

上图可以看到监听地址为/tmp/php-cgi-72.sock,由于此处的listen并不是一个具体的端口号,没有办法使用远程攻击tcp模式的php-fpm来执行命令,也没办法使用SSRF结合Gopher协议攻击本地的php-fpm,因为两种攻击手法都是利用tcp模式,那么只剩下最后一种利用手段了

攻击unix套接字模式下的php-fpm,unix类似不同进程通过读取和写入/run/php/php7.3-fpm.sock来进行通信,必须在同一环境下,通过读取/run/php/php7.3-fpm.sock来进行通信,没办法进行远程攻击

直接利用蚁剑中的插件,找到sock文件的绝对路径,成功上传

成功上传了一个.antoproxy.php文件到shell所在的目录下,修改一下shell的连接地址,默认密码为ant

并没有成功,暂不清楚是什么原因,打php-fpm这条路失败了,看来需要换个思路了

想起了之前比赛用过的利用UAF脚本来绕过disable_funtion,可以从Github上对应的地址下载脚本进行手动上传,也可以用蚁剑里的插件直接绕过,这次选择了Backtrace UAF,该漏洞利用在debug_backtrace()函数中使用了两年的一个 bug。我们可以诱使它返回对已被破坏的变量的引用,从而导致释放后使用漏洞

由于涉及pwn方面知识,web狗就不深入研究了,同样直接利用插件,成功执行命令

到这里这个站就差不多了,也不算是特别难,想到了对应的点就拿下了

后记

2021最新整理网络安全/渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>戳我拿<一

在整理报告的时候重新看了一下这个站,发现了一个最致命的问题,web管理界面直接给了一个文件管理的功能,能任意文件进行上传,这不是能进后台就能拿shell么,翻了翻目录还有一些别的站搭在这个服务器上,心真大啊…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/119602.html

相关文章

  • 一次Redis数据库配置导致连接数泄露问题

    摘要:首先,修改了下数据库配置成功重启之后,重新运行前面的监控脚本,以便观察修复后情况,初步可以确认这下服务器端和客户端的连接数一致了再又经过几天的脚本自动采集数据后分析,系统又恢复平稳运行了,连接数一直稳定在理论最大连接数之下。 问题背景 去年圣诞节当天,突然收到一个我经手过的项目的告警邮件,错误消息显示Redis::CommandError: ERR max number of clie...

    Anleb 评论0 收藏0
  • 一次oracle数据库redolog全部丢失恢复

    摘要:执行导入之前,需要先使用工具重新创建一个名为的数据库。执行下面操作进行数据导入执行完上面操作之后,数据库就恢复完了。在数据库日常使用过程中,做好备份和谨慎操作是保护系统安全最有效的手段。 查看redolog的状态 $ sqlplus / as sysdba SQL> select GROUP#, STATUS from v$log; GROUP# STATUS ------...

    IamDLY 评论0 收藏0
  • 一次oracle数据库redolog全部丢失恢复

    摘要:执行导入之前,需要先使用工具重新创建一个名为的数据库。执行下面操作进行数据导入执行完上面操作之后,数据库就恢复完了。在数据库日常使用过程中,做好备份和谨慎操作是保护系统安全最有效的手段。 查看redolog的状态 $ sqlplus / as sysdba SQL> select GROUP#, STATUS from v$log; GROUP# STATUS ------...

    meislzhua 评论0 收藏0
  • android 一次解决键盘遮挡问题

    摘要:文章链接日常开发过程中,会遇到编辑框输入内容弹出软键盘,往往会出现键盘遮挡内容,或者出现页面整体上移的,或多或少在体验上都不是很优雅,今天提供个方法是自行控制页面上移距离,竟可能让页面呈现给用户友好点。 文章链接:https://mp.weixin.qq.com/s/1gkMtLu0BTXOUOj6isDjUw 日常android开发过程中,会遇到编辑框输入内容弹出软键盘,往往会出现...

    MockingBird 评论0 收藏0
  • android 一次解决键盘遮挡问题

    摘要:文章链接日常开发过程中,会遇到编辑框输入内容弹出软键盘,往往会出现键盘遮挡内容,或者出现页面整体上移的,或多或少在体验上都不是很优雅,今天提供个方法是自行控制页面上移距离,竟可能让页面呈现给用户友好点。 文章链接:https://mp.weixin.qq.com/s/1gkMtLu0BTXOUOj6isDjUw 日常android开发过程中,会遇到编辑框输入内容弹出软键盘,往往会出现键盘遮...

    Ali_ 评论0 收藏0

发表评论

0条评论

姘搁『

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<