一个IP Geteshll

信息收集 开局只有一个IP：103.xx.xx.99，基本信息如下： thinkphp 3.1.3 + iis 7.5 + php 5.4.28 + Windows Server 2008 R2 域名 通过ip得到很多子域，访问那些子域可以判断出都是同一个系统上的，主域为：9xx9.cn 域名备案主体：广州市xxx有限公司主体备案域名还包含： www.xx.comwww.xx.com.cnwww.xx.com.cnwww.cbxxxa.comwww.rxxea.cnwww.cxx8.com.cnwww.zxx8.cn 还有一个域名：gxxt.xxx.com ==> 这里后面随便输入什么都可以报错查看到路径 d:\wwwroot\gxxt\wwwroot 通过oneforall访问子域，都是502，并且使用gotocdnhttps证书指纹： d660e0cab888acxxxxxxxxxxxxxxxa117fbb3af5e43b Subject DN CN=uk.xx.cn ==> 绝对路径：  d:\wwwroot\xx\wwwroot 目录 /about/contact/app/public/Login/login 深挖 /app 无果，/public/ueditor/可以访问到ueditor编辑器版本为1.4.3 访问about得到报错绝对路径 d:\wwwroot\wwww\wwwroot 并且得到thinkphp 3.1.3，也得到了后台地址/Login/login 全端口 nmap -T4 -A -v -p- 21 ftp804433306 Mysql-5.1.7133890 远程桌面 waf 在尝试注入的时候发现存在 waf - 云网盾 漏洞测试 通过以上的信息收集，联想到以下可以操作的攻击手段 thinkphp 3.1.3历史漏洞复现ueditor 1.4.3历史漏洞复现后台爆破（验证码不刷新）ftp、mysql、rdp爆破 首先复现ueditor ueditor 1.4.3 php版本无法getshell，漏洞是存在net的 .net可以任意文件上传后面找到网上说php相应的版本也有文件上传，打了一下看见无法加载public上传也是白名单也无法绕过 这里可以复现ssrf，但是是云主机，作用不大http://103.xx.xx.99/public//ueditor/php/controller.php?action=catchimage&source[]=https://www.baidu.com/img/baidu_jgylogo3.gif uk.9xx9.cn 后面想起还有uk这个子域，打开这个网站，主页空白，扫描到一个登录后台 所以继续对uk这个子域做了信息收集，然后发现通过uk这个域名扫描目录得到phpinfo和备份源码文件wwwroot.rar phpinfo.phpwwwroot.rar 数据库账密 通过源码查询到数据库账密并成功登陆，但发现password是未知加密，通过数据库的账号密码撞远程桌面，被限制了，输入错误的密码显示错误，所以推测这个账密应该是对的 地址：103.xx.xx.99:33890账号：uxxcx密码：m4r2j6B4 后台账密 虽然是未知加密，但是现在有了源码，通过源码发现是自己写的加密方式，然后本地搭建，将加密类注释掉 直接使用明文传输，我本地修改成明文，成功登陆后台 并且发现zyx的明文密码：zy8 也就是 s=N=2AubkV2aZ2maam2Za2VkbuA2=N=s 等于 zy8 ，之后的话可以在目标站的数据库中修改成这个密码并登陆 但是本地发现可以把密码恢复回去后台没有被退出，还可以直接看到明文密码，就得到管理员dengdengdeng的密码：jo****38 账号：zyx密码：zy****8 账号：dengdengdeng密码：jo****8 Getshell 审查了一下源码，发现虽然是白名单 但是是通过MIME来判断的，所以通过本地复现 上传文件处直接上传php然后将 Content-Type的application/octet-stream修改成image/jpg就行，然后就直接成功Getshell，这里以phpinfo来展示 总结 信息收集 ==> 突破口：https证书 找到了子域名uk ==> 目录 ==> 扫描到备份文件 ==> 先查找config配置文件 ==> 注释加密类（绕过加密） ==> 代审 ==> 文件上传getshell（MIME绕过） 文章来源：G3et博客原文地址：https://www.g3et.cn/2023/ipgetshll 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END