提示描述很明确,这是个基于dedeCMS搭建的demo站点,dedeCMS比较经典的就是13年的/plus/recommend.php注入漏洞,构造出语句可以直接爆出管理员的账号密码。
/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=111
最终目标是获取web服务器administrator用户桌面上的flag文件内容。那么思路就很明确了,首先要将webshell传上服务器,然后测试webshell的权限,权限不够的话再想办法提升权限,最后获取到flag文件的内容。
题目描述中给了个工具链接,下载下来直接输入目标网站域名(其实就是访问/plus/recommend.php?action=…)
dedeCMS将密码明文先进行md5(32位小写)加密,然后取生成的32位哈希值的第6-26位存储在数据库中。而16位md5哈希值是取32位md5哈希值的第9-25位。
这里通过注入所得到的密文adab29e084ff095ce3eb为20位字符,由上文可以知道,去除密文的前三位和最后一位后就是明文的16位md5值。通过在线的md5库可以查出管理员密码为only_system。
有了账号和密码,接下来该找CMS的后台地址。dedeCMS默认的后台地址为/dede。如果管理员将后台地址更改了,可以访问/data/mysql_error_trace.inc、/data/mysqli_error_trace.inc,可能记录了后台地址,可以尝试结合关键词查找。
登录后台后,发现没有最好用的文件式管理器,然而这里getshell的方法太多了…
更改系统限制上传的文件扩展名,添加上php就能上传webshell了。
用菜刀访问administrator用户的桌面文件夹,可以看到文件名但无法获得文件内容,很明显是权限不够。执行net user和net1 user,都回显无法访问,同样是权限不够。尝试了几种办法,比如上传cmd.exe来设置为菜刀的shell、nc反弹shell、Churrasco.exe(巴西烤肉)提权执行命令等,都没有成功。
上传net.exe和net1.exe,执行发现上传的net1.exe可以使用。
添加一个新用户,设置为管理员组成员。
net1.exe user admin admin123 /addnet1.exe localgroup administrator admin /add
也可以不上传net1.exe,通过上传工具包里的提权工具ms11046.exe、ms11080.exe,执行即可添加用户(这个工具包里面的似乎没法执行任意命令啊。。。)
已经有了系统的管理员用户,只要能登录服务器就可以查看到文件了。尝试了远程桌面连接的方式,不过一直没有成功。
用psexec登录上去,切换至桌面目录。psexec \\172.16.12.2 -u admin -p admin123 cmd.exe
这里就很尴尬了,通过psexec获得的命令行,输入中文会乱码,而flag文件偏偏在一个中文文件夹内。
不过现在是admin用户,用nc反弹个shell回去的话,权限也将会是admin用户的权限,再在反弹回去的shell中切换至桌面文件夹查看flag文件就行了。
也可以不去登陆服务器,直接把服务器上的磁盘分区映射到本地。net use z: \\172.16.12.2\c$
