写点什么

【网络安全】记一次挖洞的日常

发布于: 3 小时前

前言:上个月月初开始,在那些项目结束之后进入了挖洞时期,每天的日常工作就是挖洞,除非有临时的项目才会停下,最近在整理报告,发现了这个站,还是挺有意思的。

信息收集

从 fofa 上找到了这个站点,叫做 fastadmin,是基于 Thinkphp5 和 bootstrap 开发的后台框架,常规思路找一下后台,根据经验,没意外的话 php 的站点基本都是根路径后加个 admin 就可以找到了


getshell

常规手段弱口令先打一波,不行再试试 SQL 注入弱口令 admin/123456 成功进入后台


因为结合了 tp5 框架,想到可能可以用 tp5 的 RCE 直接命令执行,再利用 file_put_contents 写入 shell,就直接来试试



没有成功...


应该是因为不是纯 tp5 框架二次开发的,所以打不通,而且 tp5 的 RCE 洞网上分析文章到处飞,估计开发应该也已经修掉了,那就只能另外找口子了


翻了一翻可以上传文件的点很多,试了其中一个,分类管理处可以添加品牌,并且有两个上传的点



尝试上传一句话,直接以 php 结尾,上传失败,常规绕过手段,修改 content-type 为 image/png,成功上传



shell 传上去就好办了,直接命令执行列一下目录,不出意外失败了,应该是禁用了命令执行函数



看一下 phpinfo,发现存在fpm/fastcgi,可以借助这个点绕过disable_function,达到命令执行的目的,再看一下


disable_functions里禁用的函数方法,扫了一眼我常用的都在里面了,就不细看了,想办法绕过就完事了




再绕之前先用蚁剑连接一下,可以翻目录,那就不要改马来绕过目录翻阅限制了,先找到 php-fpm 配置文件的位置,从前面可以知道 php 是 7.2 版本的,这台服务器上有好几个版本的 php




上图可以看到监听地址为/tmp/php-cgi-72.sock,由于此处的 listen 并不是一个具体的端口号,没有办法使用远程攻击 tcp 模式的 php-fpm 来执行命令,也没办法使用 SSRF 结合 Gopher 协议攻击本地的 php-fpm,因为两种攻击手法都是利用 tcp 模式,那么只剩下最后一种利用手段了


攻击 unix 套接字模式下的 php-fpm,unix 类似不同进程通过读取和写入/run/php/php7.3-fpm.sock来进行通信,必须在同一环境下,通过读取/run/php/php7.3-fpm.sock来进行通信,没办法进行远程攻击


直接利用蚁剑中的插件,找到 sock 文件的绝对路径,成功上传



成功上传了一个.antoproxy.php文件到 shell 所在的目录下,修改一下 shell 的连接地址,默认密码为 ant



并没有成功,暂不清楚是什么原因,打 php-fpm 这条路失败了,看来需要换个思路了


想起了之前比赛用过的利用 UAF 脚本来绕过 disable_funtion,可以从 Github 上对应的地址下载脚本进行手动上传,也可以用蚁剑里的插件直接绕过,这次选择了Backtrace UAF,该漏洞利用在 debug_backtrace()函数中使用了两年的一个 bug。我们可以诱使它返回对已被破坏的变量的引用,从而导致释放后使用漏洞


由于涉及 pwn 方面知识,web 狗就不深入研究了,同样直接利用插件,成功执行命令



到这里这个站就差不多了,也不算是特别难,想到了对应的点就拿下了

后记

2021最新整理网络安全\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>戳我拿<一


在整理报告的时候重新看了一下这个站,发现了一个最致命的问题,web 管理界面直接给了一个文件管理的功能,能任意文件进行上传,这不是能进后台就能拿 shell 么,翻了翻目录还有一些别的站搭在这个服务器上,心真大啊...



用户头像

我是一名网络安全渗透师 2021.06.18 加入

关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08

评论

发布
暂无评论
【网络安全】记一次挖洞的日常