美文网首页春花秋月
利用phpcms后台漏洞渗透某色情网站

利用phpcms后台漏洞渗透某色情网站

作者: 网络安全技术知识 | 来源:发表于2017-04-24 14:20 被阅读545次

    [原创]利用phpcms后台漏洞渗透某色情网站

    phpcms v9版本最近爆了好几个漏洞,网上公开了不少信息,但没有真正实战过,就不能掌握其利用方法,本次是在偶然的机会下,发现一个网站推荐楼凤信息,通过分析,其采用了phpcms系统,经过测试成功获取webshell。

    1.1扫描及分析端口信息

    使用“nmap -p 1-65535 -T4 -A -vwww.****.info”命令对该网站进行全端口扫描,获取端口信息如图1

    1.png(71.44 KB,下载次数: 0)

    下载附件保存到相册

    前天19:51 上传

    所示,扫描结束后发现网站对外开放了21、22、80、3306以及8888端口,感觉能利用的也就是21、80、3306和8888端口。

    图1端口开放情况

    1.2网站cms识别

    通过http://www.****.info/robots.txt获取其文件内容:

    [AppleScript]纯文本查看复制代码

    User-agent: *

    Disallow: /caches/

    Disallow: /phpcms/

    Disallow: /install/

    Disallow: /api/

    Disallow: /admin.php/

    Disallow: /errpage/

    Disallow: /uploadfile/

    Disallow: /wp-crons.php/

    Disallow: /statics/

    Disallow: /plugin.php/

    Disallow: /jiekou.php/

    Disallow: /wp-crons.php/

    Disallow: /phpmyadmin_sjsby8239yh2w9/

    Disallow: /360safe/

    Disallow: /404/

    Disallow: /404.htm

    Sitemap: /sitemap.html

    Sitemap: /sitemap.xml

    在实际测试过程中如果没有robots.txt文件,则可以通过查看源代码,查看代码文件中的关键字等信息来确认,还可以使用linux的cms识别工具进行检查。

    1.3可利用信息分析和测试

    经过分析,该网站为phpcms的可能性最高,就以上信息,可以利用的有:

    (1)“/phpmyadmin_sjsby8239yh2w9”可能为phpmyadmin管理地址,经过核实不存在该路径。

    (2)admin.php为后台管理地址,经核实http://www.****.info/admin.php无法访问,如图2所示,提示页面没有找到。后续对http://www.****.info/jiekou.php、http://www.****.info/phpcms/、http://www.****.info/caches/进行访问,未发现明显可以利用的信息。

    2.png(41.88 KB,下载次数: 0)

    下载附件保存到相册

    前天19:51 上传

    图2页面无法访问

    1.4端口信息测试

    (1)8888端口访问后,获取后台http://www.****.info:8888/index.php?m=Public&a=login,如图3所示,该平台为LuManager,通过该平台可以管理ftp、mysql数据库等,该平台2.0.99版本还存在SQL注入漏洞以及后台密码绕过漏洞,其url地址为:

    (2)80端口对应主站域名。

    3.png(78.17 KB,下载次数: 0)

    下载附件保存到相册

    前天19:51 上传

    图3LuManager管理后台

    1.5phpsso_server后台管理

    直接打开phpsso_server后台管理地址,如图4所示,可以使用默认admin/phpcms进行登录,在本例中顺利登录其后台地址,如图5所示,在该后台首页中可以获取phpcms的版本信息,服务器环境信息,会员总数等。

    4.png(31.22 KB,下载次数: 0)

    下载附件保存到相册

    前天19:51 上传

    图4获取phpsso_server后台

    5.png(52.79 KB,下载次数: 0)

    下载附件保存到相册

    前天19:51 上传

    图5成功登录后台

    1.6获取webshell尝试

    1.查看Ucenter配置

    在后台管理中单击“系统设置”-“Ucenter配置”,如图6所示,该界面是用来对接Ucerter接口,在Ucenter api地址中存在漏洞。

    7.png(78.94 KB,下载次数: 0)

    下载附件保存到相册

    前天19:51 上传

    图6Ucenter配置

    2.定位关键字

    使用Google浏览器Chrome,使用F12功能键,在dock位置中选择上下,然后在源代码中使用“Ctrl+F”快捷键进行关键字“api”搜索,如图7所示,找到id为uc_api的那一栏。

    图7定位uc_api

    3.修改关键字

    选中后,在Google弹出的菜单中选择编辑html,使用代码进行替换:

    [AppleScript]纯文本查看复制代码

    8.png(27.86 KB,下载次数: 0)

    下载附件保存到相册

    前天19:51 上传

    图8修改参数值

    4.获取webshell

    选择“提交”并“更新缓存”即可获取shell,shell一句话后门密码为g,shell地址为:

    http://127.0.0.1 /phpsso_server/caches/configs/uc_config.php,如图9所示,成功获取webshell。

    9.png(40.67 KB,下载次数: 0)

    下载附件保存到相册

    前天19:52 上传

    图9获取webshell

    1.7后续数据分析

    1.获取管理员密码

    通过查看该数据库xinxi_admin表,获取管理员相关信息,如图10所示,username、password、encrypt以及email信息。

    10.png(31.72 KB,下载次数: 0)

    下载附件保存到相册

    前天19:52 上传

    图10获取管理员密码

    2.破解管理员密码

    phpcms 密码是采用md5加盐,在http://www.cmd5.com/网站中选择加密算法:md5(md5($pass).$salt);Vbulletin;IceBB;dz即可进行破解。如图11所示,如果查询到这会提示进行购买。phpcms会员密码也是采用同样算法,其表为xinxi_member、xinxi_sso_members。

    11.png(47.61 KB,下载次数: 0)

    下载附件保存到相册

    前天19:52 上传

    图11破解phpcms管理员密码

    1.8总结

    如果知道phpcms的sso管理员密码,则可以通过该方法来获取管理员密码。

    相关文章

      网友评论

        本文标题:利用phpcms后台漏洞渗透某色情网站

        本文链接:https://www.haomeiwen.com/subject/uvcpzttx.html