安全矩阵

 找回密码
 立即注册
搜索
查看: 921|回复: 0

实战 | 从前端代码审计挖掘未授权进入后台到文件上传拿...

[复制链接]

180

主题

231

帖子

1174

积分

金牌会员

Rank: 6Rank: 6

积分
1174
发表于 2022-9-30 17:49:51 | 显示全部楼层 |阅读模式

实战 | 从前端代码审计挖掘未授权进入后台到文件上传拿下某色情网站


前言
记录一次色情网站渗透经历,通过挖掘后台未授权登录以及文件上传getshell拿下服务器
0x1
起因就是某群友发了一个截图给我,心想免费的vps又来了

0x2(信息收集)
经过了一些常规的信息收集获得了该目标ip,开放端口,app程序包,用的框架为thinkphp6.0.12,以及后台登录地址,开搞



0x3(失败的漏洞利用)
当时最有用的信息就是Thinkphp6.0.12,本想试试那个反序列化漏洞,但是没有成功(手工也试过了)
0x4 (找到未授权进入后台)
于是转战后台:后台挺简单的一个页面,但是没有找到注入,验证码也是没有问题的,无法爆破,但是从返回数据包中我看到一些比较敏感的信息
这是要给前后端分离的网站,我感觉多半有未授权之类的,立马去看看前端代码,发现惊喜
  1. $(document).keydown(function (event) {
  2. if (event.keyCode == 13) {
  3. $("#loginadmin").click();
  4. }
  5. });

  6. $("#loginadmin").click(function(){
  7. //获取input表单的值
  8. var adname=$("input[name='adname']").val();
  9. var password=$("input[name='password']").val();

  10. if(adname.length<1) {
  11.     layer.msg('管理员不能为空!',{offset: '150px' })
  12.     return false;
  13.     }

  14.     if(password.length<6){
  15.     layer.msg('密码不能小于六位数!',{offset: '150px' })
  16.     return false;
  17.     }

  18.     $.ajax({
  19.     type: "POST" ,
  20.     dateType: 'json' ,
  21.     url:"/admin/login/index.html",
  22.     data:$(".login_form").serialize(),
  23.     success: function(status){ //验证成功,进入后台
  24.     if(status.code==1){
  25.     layer.msg(status.msg,{offset: '150px' ,icon: 6},function() {
  26.     top.location="/admin/index/index.html" ;
  27.     });
  28.     }; //密码错误
  29.     if(status.code==2){
  30.     layer.msg(status.msg,{offset: '150px' });
  31.     var captcha_img=document.getElementById('captcha');
  32.     captcha_img.src="/captcha.html?" +Math.random();
  33.     $(".check").val('');
  34.     $(".password").val('');
  35.     } //管理员不存在
  36.     if(status.code==3){
  37.     layer.msg(status.msg,{offset: '150px' });
  38.     var captcha_img=document.getElementById('captcha');
  39.     captcha_img.src="/captcha.html?" +Math.random();
  40.     $(".check").val('');
  41.     $(".username").val('');
  42.     $(".password").val('');
  43.     } //验证码错误
  44.     if(status.code==4){
  45.     layer.msg(status.msg,{offset: '150px' });
  46.     var captcha_img=document.getElementById('captcha');
  47.     captcha_img.src="/captcha.html?" +Math.random();
  48.     $(".check").val('');
  49.     }
  50.     }
  51.     })
  52.     })
复制代码

在这一段js代码中,清晰明了的逻辑,以及后端主页的地址,返回值为 1 就会跳转到后台,于是修改返回数据包 (这里可以直接访问后台地址)。
然后成功跳转后台,但是立马又跳转到登录页面,心想有机会,这次将burp全程一个一个包的放,当修改登录返回数据包的 code为 1 之后,会接着请求后台主页,并且后台主页的前端代码会成功返回,但是放过这个返回数据包后,浏览器还是没有渲染出页面,burp重放后接收的数据包也没有渲染出页面,好奇怪,猜测应该是有某个js代码导致的,于是我慢慢看那个后台的前端代码,发现了问题:
  1. <script>
  2.        window.location.href="/admin/login"
  3. </script>
复制代码


就是因为这串代码,浏览器收到数据包后立马就去请求登录页面了,也就没有渲染页面,不管他,直接删了,成功进入后台页面,此时burp不能关,要不然还是会跳转到登录页面,之后的每一个数据包返回的数据都有那一串跳转到登录页的代码,都要删除。
0x5(文件上传getshell)
点击那个网站配置选项,出现了好东西,上传图片,本着试一试的想法,上马子
先来个一句话,成功,看来后端没有限制
但是某剑连不上,真奇怪
换哥斯拉,成功连接
0x6(尝试提权)
这个后台禁用了命令执行的函数,只有用哥斯拉的BypassDisableFunctions模块执行命令,先弹个sehll来耍耍,打开我的某某蛇,msf开个监听,哥斯拉PMeterpreter模块直接上线,但是不稳定,过一会就断了,后来经过师兄指点,还是用蛇生成木马上线来的稳定点
拿到稳定的shell之后,开始提权,直接用CVE-2021-4034提权
拿到root权限后,就可以做任何事情咯,找到宝塔面板,
0x7 (其他东西)
直接翻数据库,找到管理员密码,可以试试撞其他地方的密码,MD5解密出来是一个弱密码,这要是能爆破,必成功呀
其他就没啥有用的东西了,真可惜,估计东西都在那个app里面
0x8 (总结)
攻击路径:网站路径扫描找到后台地址 -> 数据包+前端代码审计发现后台未授权登录 -> 后台文件上传getshell -> CVE-2021-4034提权拿下主机

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-28 17:08 , Processed in 0.015383 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表