!!!分享挖洞思路和我最近所拿站点的步骤!!! – 作者:pwnter

注意:我所渗透的站是已授权的,因放图会泄露站点隐私就不放图了

第一个站

授权-商城测试站 查看> 
测试对象:某商场
对方站点配置环境:centos+mysql+php+apache+thinkphp+cms未知+宝塔建站 +cdn 
子域名:无 
1.通过主动收集和被动收集了解网站架构。

2.通过测试发现为b/s架构无子域名发现。

3.通过路由追踪,超级ping,python脚本、dns解析均找不到网站真实IP 。

4.通过/robots.txt发现根目录下有/manage。访问发现是后台管理地址,后台登录表单有账号密码验证码及token令牌认证。token可通过burpsuite返回包进行抓取,但验证码为后端服务器校验,无漏洞可利用。尝试表单注入发现并无注入点。后台暂时放一放。

5.测试前端注册、登录、找回模块。发现注册模块服务器验证码不会刷新存在重放攻击,可恶意消耗短信发送次数。登录页面无可用漏洞。找回密码存在逻辑漏洞,可根据输入账号判断账号是否注册,从而发生注册用户泄露。商城应用模块无可利用漏洞,头像上传做了白名单限制,路径不可控、上传文件名将重新命名,无法绕过,通过brupsuite–spider模块寻找动态参数进行手工及sqlmap结合探测发现无注入。通过留言、搜索、添加收货地址等表单进行xss闭合,发现收货地址存在存储型xss。利用xss获取后台地址及cookie做cookie欺骗发现无法欺骗,根据分析可能存在httponly限制。无法登录。

6.通过awvs进行全站扫描无高危漏洞。

7.基于黑盒测试,只能通过之前发现的xss做url重定向。通过xss写入跳转url,通过kali-linux下的setoolkit制作后台网站配合ngrok形成内网穿透。记录对方账号密码并成功登录到后台。

8.通过后台管理员组头像上传直接提升权限拿到webshell。

9.查看服务器内核版本发现存在脏牛提权。通过nc反弹获取交互式shell。本地编译上传至tmp目录下运行提权失败。msfconsole 提权没有做。

10.修复及安全建议报告:

(1)注册验证码设置过期时间 
(2)找回密码设置验证码 
(3)收货地址采用安全函数过滤,比如htmlspecialchars()安全函数 
(4)后台上传图片使用黑白名单限制
(5)后台url访问采用IP白名单限制 
(6)开启宝塔apache防火墙,设置xss、sql注入等正则替换,主要设置访问频率。防止扫描器及探测工具扫

第二个站

授权-个人博客渗透测试 查看> 
测试对象:个人博客 
对方站点配置环境:centos+mysql+php+nginx+某塔+layui+thinkphp
子域名:解析与主域名一致。

1.手工探测/admin直接找到后台地址,发现没验证码无流量限制。

2.测试用户名发现存在admin用户,burpsuite–intruder尝试弱口令爆破成功进入后台。

3.后台为layui–cms无法执行脚本文件、没有找到可用漏洞。

4.登录注册找回密码等功能模块没有找到相关漏洞。

5.由于站长好久没有管理及更新网站、想起之前宝塔有一个888/pma未鉴权可直接访问phpmyadmin。

6.通过宝塔漏洞直接进去phpmyadmin查看权限为root权限,尝试写入shell发现开启了安全模式。无法写入。

7.尝试利用mysql慢日志log拿shell 。

8.原理:select一句话木马使用延迟注入写入慢日志,将慢日志移动到网站根目录下进行访问链接。

9.下载thinkphp低版本框架及开发文档分析、通过报错找到绝对路径。

10.getshell—-结束。修复及建议报告:

1.更新某塔 
2.设置八位及以上密码 
3.设置目录限制和权限。无法移动或者写入即可

来源:freebuf.com 2021-01-06 20:02:29 by: pwnter

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论