程序員的成長之路

互聯網/程序員/技術/資料共享?

關注

閱讀本文大概需要 4?分鐘。

來自：編程技術宇宙

今天這篇文章來源于知乎上一個叫Ret2Rttr的分享，作者自稱是一名六年級的小學生。文章主要記錄的是他針對自己學校網站的一次滲透測試，過程非常有趣，所以分享給各位讀者朋友。

---

上周三，閑著無聊，準備上學校網站看看，想我這種Pwn狗，自然是對Web沒啥希望了。。但是，我還是覺得上學校網站看看 說不定呢~ 所以 我上了學校網站 開始了滲透......

Stage 1:信息收集

無聊的我登錄上了學校主站 說實在找不到啥突破點 連個能交互的地方都沒有...

主站這條路死了

所以我準備從其他角度來思考這個問題。于是，我打開了fofa看看有沒有啥子域名之類的。結果，hiehie 找到了學校培訓部門的一個網站。

根據我對學校的理解，我們學校是肯定不可能自己做模板的?應該是運用了其他的cms來建站的，而所謂cms也就是其他的一些網站模板，具體可以是博客、商業化站之類的。打開了代理，dns開了，就用御劍掃描工具掃了一些。hhh 還真的掃描出來了！

dedecms?! 織夢csm,非常古老的的cms了。我記得可能在我出生之前可能就存在了。那么，問題就出現了。越古老的模板一般都會擁有一些通用性的漏洞。而通用性的漏洞 可能會導致網站機密性、完整性的威脅。其中，我們把這些通用性漏洞這樣分開：

• 0day 指被發現但未被修復過的漏洞

• 1day 指被發現且被修復，但是由于漏洞發現時間比較早，補丁普及不完整的漏洞

• nday 指發現且被修復的漏洞，通用性較低，因為漏洞修復已經較長時間，一般只有長期不更新的廠家才會中招** 于是，我開始了我的漏洞尋找之路。

版本號確定？

一開始，我就被網站的留言板塊吸引了。一般來說都會存在XSS漏洞。XSS攻擊是指惡意攻擊者往Web頁面里插入惡意Script代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的Script代碼會被執行，從而達到惡意攻擊用戶的目的 也就是說XSS漏洞就像是一個捕獸夾，當具有管理員權限的站長訪問被植入XSS腳本的網頁時，可能會被盜取權限。

準備了攻擊載荷，雖然可能性小但是還是準備試一試。但是在留言之后有一段動畫。我看了看，好像爆了CMS版本！我打開手機慢動作，拍了下來上面寫著：

確認了版本號，找針對這個版本的通用性漏洞就不難了。所以，我打開了珍藏已久的DEDEcms掃描器~?看看有沒有nday漏洞。

Stage 2:漏洞利用

經過漫長的等待 好像似乎掃描到了一個nday 于是 我打開了nday掃描中的url 似乎好像有信息泄露漏洞！

INSERT?INTO?`dede_member`?VALUES('1','xxxx','admin','2604ccf7b8a4a852cxxxxxxxx','admin','xxx','100','0','0','0','xxxxxxx@qq.com','10000','10','0','','0','','xxxxxx','','xxxxxxx79','xxxxxxx','-1');

這好像是sql數據庫的備份 里面記錄了 admin 賬號的登錄md5加密后密碼 其實 一般網站的登錄密碼校正就是和數據庫中使用同一加密算法加密過的密文來做比對 所以說 我們只需要逆向破解這串md5密文 我們就可以獲得admin賬號密碼

通過md5解密之后，我們成功的獲得了賬戶的密碼。其中為了機密性考慮，我沒有辦法把密文給你們看。但是，我們已經獲得了賬戶的密碼。現在，我們可以登錄剛剛我們御劍掃描到的子站后臺了。

不出意料的我們登錄了后臺。但是，我們的滲透還沒有結束。現在，我們需要獲得整個網站的shell權限，也就是服務器的權限。

Stage 3:后滲透

在前面我們提及到nday這個概念，而像這個版本的織夢cms，nday可能是無法避免的。而還是不出意料的我們搜索到了后臺getshell的nday。遠程命令執行 (rce漏洞) 攻擊者可以通過精心構造的語句來遠程控制網絡服務器，可以執行任何命令。

（其實應該是nday）

接下來，我們就開始漏洞利用吧。

漏洞利用

關于漏洞的原理不再多說。-->DedeCMS V5.7 SP2后臺存在代碼執行漏洞 - 0DayBug - 博客園 (cnblogs.com)。首先，我們需要登錄一個上傳的接口，獲取我們的token值。其中Token就在html當中

獲取了Token值，我們就可以構造Payload了?。payload結構如下。

域名?+?/dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=<?php[PHP語句]?>&token=[Token值]

輸入payload后 訪問

域名+/include/taglib/moonsec.lib.php

可以回顯執行的任何php命令。在這里我們可以插入一句話木馬。

成功獲得Shell！

總結

我畫了個思維導圖

補充：之后的Webshell和獲得信息泄露的不是同一個站，是一個可以說是鏡像站，但是密碼還是登進去了。

<END>

推薦閱讀：

北大韋神透露現狀：自己課講得不太好，中期學生退課后就剩下5、6個人...

西安一碼通到底是通過后端下發圖片的嗎？新笑話：CPU轉速過高導致內存溢出？

互聯網初中高級大廠面試題(9個G)

內容包含Java基礎、JavaWeb、MySQL性能優化、JVM、鎖、百萬并發、消息隊列、高性能緩存、反射、Spring全家桶原理、微服務、Zookeeper、數據結構、限流熔斷降級......等技術棧！

?戳閱讀原文領取！? ? ? ? ? ? ? ??? ??? ? ? ? ? ? ? ? ? ?朕已閱?

總結

以上是生活随笔為你收集整理的这个小学生，竟然把学校的网站搞了！的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。