Anonymous 发表于 2013-6-24 06:46:01

对某织梦dedecms网站的渗透 后台+shell+提权

先说一下目标,本来是渗透某链接网站,专门给网站挂链接的那种,一次收费20元,免审核。流量超大,排名很高的那种网站…
手工尝试一下常见目录和后台,没有发现,目测也看不出是啥cms,看一下robots.txt,竟然没有,无果。
所话说,知己知彼,百战不殆。只有对目标了如指掌了,才能得心应手的去ooxx。
继续逛,发现了这个主站有很多旗下网站,就打开看看,xx站长网,内容也很多站长资讯,网站建设,SE教程等等吧,
在网站的右上角有【用户登录】,果断点开看看…

竟然logo都没修过…无语了…细节绝对成败…好吧,果断上exp/plus/search.php?keyword=as&typeArr=a
直接爆出账户和密码来了,我尽量写点详细点吧…
得到的是20位的MD5,去掉前3位和最后1位,然后就是16位的MD5值了,解之,得到了密码。说到这里,基本上没有亮点,大多数的DEDE站都能爆出账号和密码,但是,同样大多数网站都把后台地址修改了啊。
输入dede回车,果然没有。
好吧,来试试老版本爆织梦路径的方法吧,
/include/dialog/select_soft.php
/include/dialog/config.php
include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p

提示需要输入后台地址,无果,再换一个方法:
/data/mysql_error_trace.inc
此文件记录mysql查询错误,如果有后台查询出现错误,则会暴露后台路径。
输入回车后,啥也没显示,蛋蛋疼了吧…看了看robots.txt,很明显是织梦默认的robots,但是没有发现后台地址…
用工具扫一下吧…
一般被修改了默认后台地址的,用工具扫出来的几率几乎为0,因为把dede修改为常见的admin等类似地址,
等于没修改,但我们不能放过任何一个机会,边扫边手工尝试几个…
尝试了网站名字,跟拼音首字母,也无果,工具也扫完了,no found !
既然是某某旗下网站,那尝试一下主站的名字吧,也无果,继续各种尝试ing….
打算准备放弃了,最后把域名复制了一下,回车后,竟然来到了熟悉的登录框…
登录之~
织梦后台拿shell的方法很多,文件管理器里面没有东东,那就新建模板吧。
【模版】—-【默认模板管理】—-【上传模板】—【选择文件】
将php大马或者一句话修改为fuck.php;.htm,然后上传…

上传后,可以直接打开…

打开我们的马…下一步,提权…
对于php网站,我一般用mysql提权,但是前提必须的root权限,好,来看一下:
/data/config.file.inc.php

编辑—可以看到数据库信息,数据库名,用户,密码等,没有让我失望,是root权限,哈哈..
打开mysql提权,输入密码,安装DLL,如图:

提示安装成功…
执行 ver 回显:Microsoft Windows [版本 5.2.3790]succeed!
然后添加账户,提升管理组,各种成功。
远程连接,显示登陆页面,竟然开了3389端口,呵呵,…又省事了

发现是一个VPS,旗下网站都在这上面,没有主站,但上面也有好几千人的数据…做了一下总结:并通知了的管理员,也希望大家在运维的时候注意一下。
1,后台地址还不够隐蔽,继续换。
2,网站管理员密码不够,虽然收费,但还是能够解出来的。
3,网站数据库尽量不要使用root,给提权提供便道,建议使用啊D的降权工具。
4,3389端口太明显了,哪怕换一个也行啊。

痕断 发表于 2013-8-9 11:10:51

很厉害的样子

开膛手杰克 发表于 2013-10-5 22:16:26

MARK,刘明,!!!!!!!!!
页: [1]
查看完整版本: 对某织梦dedecms网站的渗透 后台+shell+提权