目标
信息如下
环境:windows iis7.5 PHP/5.3.28
看到 iis7.5+php 第一时间就想到了 Fast-CGI 解析漏洞
解析漏洞
页面是一个登入页面,一个二级域名
![图片[1]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494227.png)
这里随便找一个图片链接地址然后在链接后面加上/.php 成功解析
/.php
![图片[2]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494228.png)
现在已经确认有解析漏洞,只需要找到上传的地方就可以了
kindeditor
翻 js 文件的时候在里面发现了 kindeditor,也得到了路径
现在来构造一个上传的 html
<html> <head></head> <body> <form name= enctype= method= action=> <input = name= /> <input = value= /> </form> </body> </html>
准备好一句话木马将后缀名改为.docx,然后选择上传,成功上传得到地址!
执行命令
现在拿出我们的蚁剑,添加连接,只有 www 目录的访问权无法跨目录
![56436-kf2ac3fdcgi.png 图片[3]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494232.png)
接下来试试看执行命令,无法执行命令,得到系统 2008
![46621-aciolo6pbsb.png 图片[4]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494233.png)
看了一下 phpinfo 被 disable_functions 了
![11325-8kg8er0kiq6.png 图片[5]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494234.png)
然后我去看了一下他主站是一个 asp 的站,跟这个域名同一台,然后上传了一个 asp 一句话,成功执行了命令
! 一个 iis 权限,现在也可以看整个 D 盘不再是 www 目录
也支持 aspx 试了一下跟 asp 一样权限也只能看 d 盘
FileZilla_server
翻了翻文件夹找到了个 FileZilla_server
![图片[6]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494236.png)
看了下端口 14147 也开放,看了 FileZilla Server Interface.xml 文件我们可以看到它的连接地址:127.0.0.1 及端口:14147,密码这里为空。
![图片[7]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494239.png)
reDuh 转发 14147
reDuh 工具可以把内网服务器的端口通过 httptps 隧道转发到本机,形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。
本机——-客户端———(http 隧道)———–服务端——————内网服务器
服务端是个 webshell(针对不同服务器有 aspx,php,jsp 三个版本),客户端是 java 写的,本机执行最好装上 JDK。
把服务端的 webshell 上传到目标服务器,然后访问,我这里是用的 aspx 的
![02454-lulqp2h952d.png 图片[8]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494240.png)
命令行下用客户端连接服务端
java -jar reDuhClient.jar http:
![42560-32kdjz8ji0e.png 图片[9]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494241.png)
使用 nc 本地连接 1010 端口
![11339-0fsjnxr1iqnr.png 图片[10]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494242.png)
连接成功会有欢迎提示,之后输入命令
[createTunnel]:.0.0.1:
前面的 1234 是本机连接用的端口,中间的 ip 地址是目标服务器的(可以是 webshell 所在服务器也可以是和它同内网的服务器),后面的 14147 是欲连接目标服务器的端口。
成功将 14147 转发出来了!
连接 FileZilla
打开 FileZilla,连接本地的 1234,密码为空
![46087-0rcngvk403en.png 图片[11]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494245.png)
成功登入
![08714-dunqv0liim.png 图片[12]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-16684942451.png)
添加个用户
![83106-9ajhuxeykt.png 图片[13]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494246.png)
权限都点满
![66176-me1j3plwivo.png 图片[14]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-16684942461.png)
然后使用 winscp 连接,可以读取 C 盘文件了
![01359-0mprc1y5zfvd.png 图片[15]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494247.png)
这里替换了粘贴键为 cmd 然后开启 3389 去,然后使用即可
![图片[16]-实战 | 记一次解析漏洞渗透经历-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-191026-1668494248.png)
作者:Jun
文章来源:blog.mo60.cn
如有侵权,请联系删除
本文作者:HACK_Learn
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/191026.html
请登录后查看评论内容