一次公司授权的渗透测试拿shell

        不久前的1次授权渗透测试中,感觉缺失任意一点都不能做到getshell的意义,单独漏洞看得话的确平淡无奇,可是假如搭配下去的情况下或许会出现出乎意料的生物效用。早期渗透测试,取得这一站的情况下第一眼就看到了用户登陆界面,刚开始惦记着申请注册,可是感觉用户作用应当非常少,没短信验证码啥的,若是后台管理管理人员也是用户呢那难道不是若是暴破出来能够去后台管理试着一发。

表明的是手机号登录,可是能够试着下user,千万别被他的前台蒙蔽了。凑巧的是能够开展登录名枚举,并且还存有user账户,不暴破都对不住他,词典呢用的是鸭王的词典,暴破神器,用这一词典暴破出来过许多网站(https://github.com/TheKingOfDuck/fuzzDicts),此次也很走运,暴破出来.取得后台管理去登陆下,管理人员的确喜爱选用一样的登陆密码,登陆进去。见到后台管理能够自定义上传的后缀名内心想能够开心的交差了,添加后缀名php,找上传一站式getshell。

outputo-20211112-095040-437-kvno.png

在我见到上传照片的在线编辑器的情况下我感觉事儿并非这么简单,果然那一个添加后缀名失灵,后台管理发觉是某cms建站程序,在网上检索能够getshell的方式,有的方式对网站有毁灭性,我若是试不得了被砍死呀。即然到现在不能getshell,那么就试着找找漏洞吧,一把手说的好假如不能getshell就多找漏洞,听一把手的总没有错。升阶环节,在刚开始打开网页的情况下,因为使用了谷歌插件sensinfor(t00ls上发觉的),能够基本检测网站的敏感文件目录,例如备份数据,phpmyadmin,phpinfo这些,在刚开始就检测出存phpinfo,获得了网站的相对路径,基本用nmap检测下开放的服务器口,发觉开放了3306服务器端口,有相对路径了,不抱期待的去暴破下3306吧,总之我是没暴破出好多个3306的登陆密码,用下非常弱口令检查软件,词典然后用鸭王的吧,有谁知道是词典强大或是运势暴破,话说这一算不上弱口令,只能够说词典里有这一密码吧,只需词典存有的便是弱密码,没有错。

接下去便是基本使用了,试下Log写日志吧

showvariableslike'%general%';查看日志状态

SETGLOBALgeneral_Log='on'开启日志读写

SETGLOBALgeneral_Log_file='xxx.php'指定日志路径

SELECT''写日志进xxx.php

汇总

仔细观看下去确实没啥技术水平,好运气暴破出来,能够写Log日志,可是也算得上环环相扣吧,要不是刚开始暴破出来很有可能也没惦记着去暴破3306,要是没有相对路径的情况下因为我不想去暴破3306,渗透测试中运势也很重要呀,嘿嘿。


分享: