红队大佬被骗,和我一起拿下黑站数据库

任意   ·   发表于 2020-11-01 21:53:02   ·   实战纪实

某天我正在工作室划水,某市红队大佬虾哥给我发信息

经过了解后事情是这样的


这个app网站,我们通过前期信息搜集和云悉扫描,判断出是辰光PHP客服系统
圈子里面有一位大神写过一个辰光CMS的审计,url如下
https://www.secquan.org/Discuss/1071471
大佬太惨了,正好我有圈子账号,我们就一起浏览了一位圈子大神的的代码审计

大概的原理我截了张图

意思大概就是辰光CMS存在未授权上传漏洞,把文件后缀改成a.b.php就能够绕过上传,如果访问某个目录如果目录存在,就是存在漏洞
(会代码审计的大佬太厉害了,可以去支持一下这位写文章的大佬)
我们验证一下
访问如下路径,如果路径存在就是存在这个未授权上传漏洞

但是我们现在有个问题就是,就是在这个app网站上没有找到有上传点怎么办呢,我们就只好请教大佬,大佬给我们说可以自己写一个dom代码进行替换然后上传

具体代码如下


然后我们就可以通过替换dom的方式上传一个php文件


选择一个文件,然后进行抓包修改文件为a.b.php
先上传一个测试的php文件


上传成功,很激动啊
我们然后直接上传一句话木马,链接webshell


然后就是上传cmd.exe准备一顿操作,结果发现这个是Linux服务器

并且无法执行linux命令,可能是我太菜了也没找到原因
这时我想到一个骚操作
我们可以尝试创建一个php文件,然后里面的内容替换为大马文件,通过大马里面的nc反弹,反弹到我们的kali攻击机上去
一开始我们发现创建不了php文件,最后找到原因是这个php的文件名是十个随机生成的数字,我们随便写了个数字,里面粘贴上大马的源码


太难受了
没办法只能先放弃提权去找config文件,找了半天也没找到什么东西,正当郁闷的时候,我们在config的同级目录下找到一个database文件,这个目录名就很有趣
点开一看


终于拿到了数据库的用户名和密码,激动的心
但是我们发现这个密码好像和我们平时见到的不一样


要吐了,我们只能赌一下是不是没加密


结果很显然,是我们想多了
没办法我们只能继续看看配置文件里面有没有加密方法


太欣慰了吧,我们点开一看,是宝塔的cms
然后去网上搜索宝塔的加密方法


磨了半个小时还是没有找到密码的加密算法,然后我就去上课了
最后是应该是大佬爆破出了数据库密码,后续的网警调查或者什么我就没有参与了
完毕,越来越觉得自己菜,不过和大佬一起学习还是非常棒的

用户名金币积分时间理由
奖励系统 100.00 0 2020-11-08 14:02:04 投稿满 10 赞奖励
奖励系统 50.00 0 2020-11-04 14:02:59 投稿满 5 赞奖励
veek 100.00 0 2020-11-02 09:09:15 鼓励原创~~

打赏我,让我更有动力~

6 Reply   |  Until 2020-11-11 | 1183 View

任意
发表于 2020-11-2

给个赞吧哥哥们

评论列表

  • 加载数据中...

编写评论内容

任意
发表于 2020-11-2

写的不容易啊

评论列表

  • 加载数据中...

编写评论内容

parkourhe
发表于 2020-11-3

任粉到此,赞

评论列表

  • 加载数据中...

编写评论内容

layljfwow
发表于 2020-11-3

大佬加油!!

评论列表

  • 加载数据中...

编写评论内容

noiprouting
发表于 2020-11-4

原来我在微信看到的这个文章就是我们学院的人写得呀

评论列表

  • 加载数据中...

编写评论内容

urfyyyy
发表于 2020-11-11

。。。。。。不如让老夫试试

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.