从任意文件读取到GetShell

2019-12-21 约 38 字 预计阅读 1 分钟

声明:本文 【从任意文件读取到GetShell】 由作者 sinensis 于 2019-12-21 09:53:32 首发 先知社区 曾经 浏览数 411 次

感谢 sinensis 的辛苦付出!

背景:

客户收到钓鱼短信,打开之后发现是一个上传身份证的应用,以下步骤是对该网站的一次测试。

起手

先到处点了下,身份证是上传到OSS的,功能比较单一,pass。跑一下子域名看看

搜集信息

上lijiejie的subDomainsBrute,然后跑了几个子域名,发现其中一个子域名比较有意思: admin1.example.com。打开一看,左边一个大大的测试环境,是一个登录管理的页面,随手测了弱密码: admin/admin1234登录成功。

任意文件读取

在后台发现可以编辑上传图片,有一个接口是读取图片的,此处存在任意文件读取漏洞:

先缓一下,用扫描器扫一扫这个IP都运行了什么鬼:

此时有点懵,不知道从那个地方入手读文件,这么多http服务。先读了/root/.bash_history 和/etc/shadow都可以成功,shadow先放着不动,最后日不动再回来看,读完/root/.bash_history就会对这个系统有一个大概的认识。

GetShell

寻思了下8888端口跑的是某塔,显示不是安全入口。搜了下,这个面板为了安全把安全入口隐藏了,安全入口的路径是:/www/server/panel/data/admin_path.pl, 然后利用任意文件读取漏洞读一下,获取该路径,此时有了登录入口。

从github下载源代码,看了下密码存储是以md5的形势放在SQLite里面: /www/server/panel/data/default.db,读一下然后save to file保存到本地,用naticat读取数据库,得到登录的账号密码,然后去cmd5查一下,GET。

关键词:[‘渗透测试’, ‘渗透测试’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now