整理的不是很仔细 凑合吧 !
我是如何利用织梦后台拿下目标站的
作者 :flower
日期 :前几天
就是蛋疼想给t00ls数据库增加点体积 虽然微不足道,虽然技术不新鲜!
这次的目标站是同服务器的bbs - dzx2 linux系统
拿下的站点是dedecms
通过各种漏洞让我和谐了这个DEDECMS
但是这个站的目录文件可写不能执行 可执行的都不能写入 无法拿shell
通过后台的文件管理器,翻看数据库信息,得出mysql root可惜内网 密码无规律,对我来说得到mysql root无任何意义。
通过后台的文件管理器操作目录文件,但是可写不能执行 这让我非常蛋疼 于是想着跨目录,看能否跨出去,悲剧的是跨不出去。
想办法爆出路径先 于是想到既然没权限写那我就要写文件让他报错 从而得出绝对路径
但是呢后台管理器的创建文件 编辑即便是没权限也会提示成功
于是我淫荡的移动文件到一个不可写的目标文件夹 得到了报错
得到了路径并且知道操作的时候需要用../这种相对路径
因为织梦的后台管理器已经可以列到网站根目录,所以得到本站的路径意义不大 但是为什么我又要去找绝对路径,当时我的想法是会不会前面目录没权限,所以我就想操作../跳出去 后来也想到用多个../ 一个个往前走 直到/tmp也可以知道结果。。。
经过多次尝试这里是不能跨出WEB目录的 想通过这个地方搞定目标更是没得想了
于是在后台各种功能一番查看,心里还在想如果有前人的后门。。。于是找到文件校验扫描 扫描一番之后列出了一些文件
右边的效验码是可以点开的 并且这里可以直接查看源文件 虽然这里没有别人的后门
但是发现了一个让我窃喜的问题
sys_verifies.php?action=view&filename=/etc/passwd 修改URL参数 直接可以查看任意文件内容
但是发现底部无任何编辑 保存功能,于是又有点心灰意冷了。。。如果只是查看文件内容 要来何用,mysql 内网无pma没得玩,
旁站都是DZ 什么的我又有mysql的root 查看文件内容毫无用处
于是上下打量了下这个passwd 里面有目标BBS的路径 单独配置的用户
输入sys_verifies.php?action=view&filename=****/bbs_path/index.php
也可以查看代码 说明在这里可以跨到目标站了 但是又如何写文件进去呢
于是乎我有了一个想法。在本站建立一个文件夹 然后利用编辑 改名 移动功能看能否移动到目标路径去,各种尝试 终于找到了一个方法 那就是建立一个文件夹然后改名
保存之后如果目标站可写就可以移动过去 经测试也移动过去了,很好,既然可以利用这个方法那就有很大希望
既然本站的配置比较严格 那么自然BBS也是一样,可写的不可执行 可执行的不可写
而且移动目录的方式是不能覆盖目标已经存在的目录 怎么办。。。思考中。。文件夹不能覆盖只能看移动文件了
但是移动文件又如何让他能写 并且可执行呢。于是根据我微不足道的经验,依稀的记得DZ某页面是要包含缓存目录的
于是本地看下DZ代码 发现首页就有包含
以下是引用片段: if(!empty($_SERVER['QUERY_STRING']) && is_numeric($_SERVER['QUERY_STRING'])) { $url = ''; |
很好 很强大。。现在要做的就是保证把cache_domain.php正常移动到目标位置
于是本站建立cache_domain.php文件 利用改名功能名称处填写../../../bbs_path/data/cache/cache_domain.php 保存。
在用dede/sys_verifies.php查看目标文件源码 很好已经躺在那了,于是打开论坛index.php 刷新没报错。然后菜刀连接 心中窃喜。。。。。。
上去操刀提权 很好能执行命令2.6.18-194的内核,一般提权都用2010年的那个,可惜失败。各种EXP尝试失败 linux下的第三方提权我只知道有个ftp可以利用的,成功率低, 社工?那就没必要了 目的达到了!
留言评论(旧系统):