来源:自学PHP网 时间:2015-04-17 14:47 作者: 阅读:次
[导读] 目标是一个大型在线论坛,论坛程序是某著名BBS程序二次开发版,需要得到目标服务器webshell,针对论坛的主站进行各种测试,未发现明显漏洞。于是开始DNS FUZZ,发现有个子域名指向的...
目标是一个大型在线论坛,论坛程序是某著名BBS程序二次开发版,需要得到目标服务器webshell,针对论坛的主站进行各种测试,未发现明显漏洞。
于是开始DNS FUZZ,发现有个子域名指向的另外的服务器存在一套WEB MAIL程序,通过社工的方式GOOGLE搜索到了该邮箱的多个账号,针对账号进行弱口令猜解,获得一个账号登陆了这套WEB MAIL程序,发现此WEB MAIL程序是一套非常老的开源程序,存在目录遍历和文件上传漏洞,得到该服务器的webshell。
从WEB MAIL程序数据库,获得了论坛管理员的一些密码,尝试一些管理员密码登陆主站论坛却需要密码提示问题,无果而返。
发现BBS程序登陆认证的SET COOKIE方式是主域名和子域名通用,于是通过之前得到的webshell上传一个记录HTTP头和IP的PHP探针,将此PHP探针的链接用于贴图发帖,放到个人签名里,到论坛上专门找管理员发过的贴回帖,最后获得了管理员的COOKIE。
使用管理员COOKIE访问论坛发现并没有在登陆状态,怀疑论坛程序对IP做了判断,于是使用Fiddler将所有的请求强制加入X-Forwarded-For头伪造为管理员的IP,这才登陆成功,获得了论坛前台的管理权限。
由于管理员前台发帖有HTML权限,将管理员最新发的几个帖子都修改并加入一个javascript脚本,脚本的作用是绑定网页的点击事件为伪造登陆窗口的函数,在伪造的登陆窗口内记录管理员输入的密码和密码提示问题,静默发送到远程的脚本。
最终得到管理员的密码提示问题,登陆论坛后台,利用论坛的模板功能获取WEBSHELL,然后提权留后门擦屁股,整个渗透完成 摘自:RAyh4c的黑盒子 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com