起因
某客户需要仿某DZ X3.2论坛,完全一模一样的那种;
对于这种仿站,我们就不要苦逼的去打包前端代码然后一个个箱套后台了,那样会麻烦到要死,so,搞事情...
走起
打开网站,大致看了下,丫就一色站,各种天马行空的板块和那些少儿不宜的图片让我等屌丝内心有点小激动ing,网站会员挺多的,跟帖评论的也挺多,就是不知道是不是虚假数据了,不过我们对他的数据不感冒,咱们要打包呀。
对于这种站,不知道各位看官的渗透流程是什么呢?
是先做一大堆信息收集,还是掏出一堆0day砸上去呢?
我呢,懒,那些个繁琐的操作肯定是放在最后无奈的时候,咱先手工浏览一遍网站。
最后我锁定了左上角那个 app下载
寻找 EarDev 的 EarCMS App 漏洞
这个URL地址看着怎么让我这么揪心呢?我记得DZ可没有这个构造。
一步一步的目录往上走,最后来到了这个页面:
发现 EarCMS App ,没有见过的CMS耶,第一感觉就是,这次的渗透,我的突破点就是它。
然后呢,各种百度谷歌,可惜搜到的全是 Ear Music 的漏洞,似乎 EarCMS App 是官方才发布出来的,网上都没什么信息。
好吧,既然没有前辈的指路,那咱们自己找路吧。
burp打开,然后对网站的各种GET OR POST请求进行手工检测,
注入点一枚都没有找到,有几个上传点,但是测试了半天均失败告终,经过几个小时的奋战,不得不承认,我还是太菜了啊,没辙了。。。
DZ 3.2漏洞测试
好吧好吧,我承认是我菜了,咱们回到DZ,还是靠前辈们指路吧。。
各种百度谷歌搜索,整合了一些DZ 3.2的漏洞,然后构造测试,折腾了半天最后发现,丫的怎么就是这么倔,不肯成全我,抓狂。。。此时已经后半夜了。。。
一顿瞎折腾
故事进入了僵持中,这可如何是好?像我这样的小菜, 怎么能连个色站都撸不过呢?
掏出我的御剑和 Acunetix 进行 一顿轰炸,
掏出burp 对 EarCMS App 后台进行一顿爆破(后来下载源码本地安装搭建后才发现,MD,用户名并不是admin,而是安装时候输入的邮箱!!!逗我玩呢!!)
DZ 3.2 的后台改掉了,不知道跑哪去了,没扫出来。
UC_Server 尝试弱口令失败。
然后呢,瞎折腾果然是瞎折腾,折腾半天最后一无所获。
菜鸟也玩源码审计
实在没辙了, EarCMS App 我总感觉有问题,只是我没找到,果断去官网下载了一份源码,
目标站的 EarCMS App 和官网的版本有点小差别,发布时间差了些许,不过并不影响我们的简单审计。
源码下载完,然后本地搭建好,开始秀秀我的审计功底了(其实只是勉强看懂PHP的渣罢了-。-)
打开源码看到的是这样的,纳尼?一个小CMS都玩威盾加密了?多此一举啊。。。
好吧,边看代码边去威盾在线解密解。
首先就盯着那几个上传点和几个可能存在注入的点的代码进行查看。
发现他的过滤做的挺好,全部都加了 intval()
函数过滤,我等小菜只会看看GET和POST的,其他深层次的构造咱就不会了,即使找到漏洞都不会构造URL,找不到目标位置,哈哈
对几个上传点瞅了又瞅,眉毛皱了又皱,好吧。。咱的审计功底也只限找 注入了,严重表示上传点瞅不懂。。。
一时间又陷入了尴尬的局面,咋办呢?都熬了大半夜了,快天亮了,就这样放弃吗?真的不甘心呢。。。。
审计大佬显神威
实在没辙了,最后不得不弱弱的表示,我要请外援。。。
在土司发帖求助,将我觉得有问题的几个页面代码发出去让土司的大神们也来瞅瞅,帖子发完,然后我也该睡觉了。
中午起床后第一眼先瞅瞅土司大神们的回复,
倒数第二段代码,可以直接上传PHP的?纳尼。。。这几个上传点我都测试过了啊,没法突破,居然还可以直接上传PHP的?弱弱的怀疑一波大神。。。
姿势摆正,仔细瞅瞅,发现关于后缀的代码也就三段,第6行写了一个if判断,
限制后缀为ipa、apk以及base64_decode加密的php后缀才上传成功,否则返回-1.
这一对比,差距这么明显的,我昨晚是小黄图看多了脑细胞不够用了吗?感谢大佬的提点,赶紧本地测试测试。
EarCMS App 上传漏洞
本地测试,成功GETSHELL,直接上传PHP+任意文件名+跨目录上传,果然大神不曾欺我。。。
但是在这里我就纠结了,既然能直接上传PHP,都不需要任何姿势突破的,那为何我之前黑盒测试的时候失败?
仔细回忆和尝试,发现是因为习惯防火墙,所以最开始测试都是胡乱填的后缀,如xx、pppp什么的乱填,导致一开始没拿到shell,浪费了那么久时间。
终究GETSHELL
Linux,打包so easy~至此完事收工,折腾了半天,全是审计大佬的功劳,想哭。。。
本文作者为Mr.Wu,转载请注明,尊守博主劳动成果!
由于经常折腾代码,可能会导致个别文章内容显示错位或者别的 BUG 影响阅读; 如发现请在该文章下留言告知于我,thank you !
师傅,我也遇到了这个站点,有问题想请教你,可以的话请你邮箱联系一下,万分感谢!
@ch4nge我后面又看过一次,他删除了 分发app平台 别的地方暂时没有发现什么漏洞,我也搞不下了,最气的是之前打包的源码因为一次事故导致电脑数据丢失,源码没有了,不然还可以根据源码在此撸下的。。。
顺便吐槽下,这站长是真的头铁,不仅再开,还特么跑我博客疯狂打广告,希望别被我逮到突破口,不然下次进去就不是打包源码那么简单了
@Mr.Wu我遇到的earcms是个色情app推广的,他把注册的功能关掉了,也没有用户名密码可以登录,还有利用的方法吗?
@ch4ngeearcms 这套程序听说存在很多漏洞,你可以下载审计一波,
也可以看看官方数据裤有没有预留会员信息,如果有的话,用预留会员登录也行
或者爆破等等,各种思路都可以尝试下呢。
@Mr.Wu好的好的,我试一下,谢谢师傅[aru_44]
结局很意外,过程很精彩