【墨者學(xué)院】：CMS系統(tǒng)漏洞分析溯源(第2題)

背景介紹

創(chuàng)新互聯(lián)是一家專注于做網(wǎng)站、網(wǎng)站制作與策劃設(shè)計(jì),安圖網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:安圖等地區(qū)。安圖做網(wǎng)站價格咨詢:18980820575

某單位需新上線了一個系統(tǒng)，安全工程師“墨者”負(fù)責(zé)對系統(tǒng)的安全檢測，確保該系統(tǒng)在上線后不存在安全漏洞。

實(shí)訓(xùn)目標(biāo)

1、了解并熟練使用linux命令；

2、了解PHPCMS的后臺地址及其他相關(guān)漏洞資料；

3、了解html源碼的重要性。

解題方向

登錄后臺后執(zhí)行l(wèi)inux系統(tǒng)命令，查看web源碼。

靶場環(huán)境：可以看到使用了phpcms9.1.13版本的內(nèi)容管理系統(tǒng)。

在網(wǎng)上可以找到，默認(rèn)的后臺登錄地址為/admin.php，其實(shí)在robots.txt文件中也能夠看到，應(yīng)該養(yǎng)成查看robots.txt文件的習(xí)慣，里面還是有一些有用的信息的。

打開admin.php鏈接，發(fā)現(xiàn)用戶和密碼都是已經(jīng)默認(rèn)填好的，所以直接登錄到后臺管理里面去。

在網(wǎng)上看到有三種方法：第一種，使用拓展里面的木馬查殺進(jìn)行key文件的查找，但是我沒有查到；第二種是利用遠(yuǎn)程命令執(zhí)行的方法來進(jìn)行目錄的查看；第三種是在界面的模板里面寫入一句話，再getshell。

第一種：phpcms后臺低權(quán)限任意命令執(zhí)行。

這個漏洞是在烏云中發(fā)布出來的，編號為WooYun-2015-0153630，具體的漏洞分析見： 。

利用的POC是：index.php?0=[命令]m=contentc=contenta=public_categorystype=addmenuid=822;${system($_GET[0])}pc_hash=vad6K3from=block

先ls查看目錄，再查看key.txt文件即可。

第二種：一句話木馬寫入。

上面的方法只是查看目錄文件，并沒有拿到網(wǎng)站的權(quán)限。寫入一句話，再用蟻劍來進(jìn)行連接，然后拿權(quán)限，這種方法才是比較通用的。

在界面中的index.html文件中寫入一句話，然后按index.php?m=search連接。雖然網(wǎng)上都可，但是不知道為啥我的蟻劍返回?cái)?shù)據(jù)為空，失敗……

1.phpcms的這個后臺低權(quán)限命令執(zhí)行漏洞，不太清楚具體適用于哪些版本，可以先記著，這個一個滲透點(diǎn)。

2.一般進(jìn)入了cms后臺管理，通用的方法就是找模板，寫入一句話，連接，上傳大馬。

干貨|總結(jié)那些漏洞工具的聯(lián)動使用

簡介針對web層面的漏洞掃描，以及一些工具的聯(lián)動使用提高效率，因?yàn)椴煌膶ο笮枰褂貌煌愋偷膾呙?，例如awvs針對國內(nèi)的cms框架可能掃描的效率不是那么高，比較awvs是國外維護(hù)更新，所以在這種情況下并不是一款漏掃可以解決全部問題，這也是新手小白在測試的說說容易出現(xiàn)的問題。

使用：

Burpsuite監(jiān)聽app流量：

Burpsuite轉(zhuǎn)發(fā)流量：

xray檢測流量數(shù)據(jù)包：

項(xiàng)目地址：

awvs：

使用：

awvs設(shè)置掃描對象后轉(zhuǎn)發(fā)流量到127.0.0.1：1111：

聯(lián)動掃描：

思維同上，效果差不多，只是把流量進(jìn)行了幾層的轉(zhuǎn)發(fā)

afrog 是一款性能卓越、快速穩(wěn)定、PoC 可定制的漏洞掃描（挖洞）工具，PoC 涉及 CVE、CNVD、默認(rèn)口令、信息泄露、指紋識別、未授權(quán)訪問、任意文件讀取、命令執(zhí)行等多種漏洞類型，幫助網(wǎng)絡(luò)安全從業(yè)者快速驗(yàn)證并及時修復(fù)漏洞。

掃描后輸出html報告，可以很直觀的看到存在的漏洞，再去加以檢測利用：

該漏掃處于一個未更新的狀態(tài)，項(xiàng)目給出，可以自己實(shí)驗(yàn)不做演示了

項(xiàng)目地址：

vulmap：

pocassist：

插件聯(lián)動：多的就不作演示了，goby在資產(chǎn)梳理中可以起到不錯的作用，很推薦

在一般的檢測中，漏掃是針對整個目標(biāo)進(jìn)行檢測，但是往往使用單兵利器的時候，在滲透的時候可以起到很不的效果，下面列舉一些常見的單兵利器：

圖形化滲透武器庫：GUI_TOOLS_V6.1_by安全圈小王子–bugfixed

致遠(yuǎn)OA綜合利用工具

通達(dá)OA綜合利用工具 TDOA_RCE

藍(lán)凌OA漏洞利用工具/前臺無條件RCE/文件寫入

泛微OA漏洞綜合利用腳本 weaver_exp

銳捷網(wǎng)絡(luò)EG易網(wǎng)關(guān)RCE批量安全檢測 EgGateWayGetShell

CMSmap 針對流行CMS進(jìn)行安全掃描的工具 CMSmap

使用Go開發(fā)的WordPress漏洞掃描工具 wprecon

一個 Ruby 框架，旨在幫助對 WordPress 系統(tǒng)進(jìn)行滲透測試

WPScan WordPress 安全掃描器 wpscan

WPForce Wordpress 攻擊套件 WPForce

本文由 mdnice 多平臺發(fā)布

易優(yōu)cms缺點(diǎn)

現(xiàn)在當(dāng)下做個網(wǎng)站，比如說和公眾號搭配使用，或者微信端使用是很常見的。如果你是從來不用在微信，不會在微信做任何登錄使用或者交易，用易優(yōu)是可以的。

我個人覺得，微信里面打開網(wǎng)頁應(yīng)該是不可避免的。

客觀說，易優(yōu)cms最大缺點(diǎn)就是，?微站站點(diǎn)缺點(diǎn)漏洞?有點(diǎn)多，

第一個缺點(diǎn)，也是漏洞，微站已經(jīng)后臺關(guān)閉，點(diǎn)擊登錄或者個人中心，依然會跳出微站點(diǎn)登錄頁面。

第二個缺點(diǎn)，更是要命，易優(yōu)一個賣點(diǎn)不是就是商城、和支付功能嗎？在非微信端可以使用，一旦在微信端使用各種支付問題限制一個又一個，支付功能幾乎就是癱瘓，

易優(yōu)的特色商城支付功能，微信端支付卡主就不動了。

比如支付的時候，支付限制提示【手機(jī)端微信使用本站賬號登錄僅可余額支付】

再比如連余額充值的時候【手機(jī)端微信使用本站賬號登錄僅可余額支付】這樣限制有點(diǎn)不應(yīng)該。

再比如，我在瀏覽器端注冊的賬號，關(guān)閉微站，微信端用賬號密碼登錄，支付訂單提示【已在手機(jī)端瀏覽器生成訂單，請到手機(jī)瀏覽器完成支付】

這樣限制有點(diǎn)惡劣。

第三個缺點(diǎn)，也算是漏洞，微站點(diǎn)打開以后，非微信端注冊的賬號，沒有綁定微站微信登錄入口

第四個缺點(diǎn)，有的時候明明剛剛登錄賬號了，切換一個可能就有退出登錄的情況。

第五個缺點(diǎn)，一般問問題，不管是群里面還是易優(yōu)問答論壇，有點(diǎn)拉胯。

總結(jié)一下，微站站點(diǎn)就是一個拖累，沒有微站拖累可能還不至于如此尷尬。也就是說有微站點(diǎn)導(dǎo)致了微信端用起來死難受，你要關(guān)閉微站點(diǎn)嗎？還是一堆限制，做出這拖后腿，沒有優(yōu)化好的微站點(diǎn)就是吃力不討好，還不如直接了當(dāng)，直接把微站點(diǎn)徹底刪除，或者想辦法優(yōu)化一下。

既然做了微站點(diǎn)，就應(yīng)該是手機(jī)瀏覽器，微信端，電腦端都要可以使用，易優(yōu)cms因?yàn)槲⒄居绊懥耸謾C(jī)端使用，實(shí)在應(yīng)該優(yōu)化一下。

說完這些缺點(diǎn)，在說說優(yōu)點(diǎn)，總體來說后臺操作比較簡潔易操作。還有購買授權(quán)域名是永久授權(quán)，更新升級是免費(fèi)的。

希望改進(jìn)優(yōu)化，發(fā)展越來越好

如何對網(wǎng)站進(jìn)行漏洞掃描及滲透測試？

注冊一個賬號，看下上傳點(diǎn)，等等之類的。

用google找下注入點(diǎn)，格式是

Site:XXX.com inurl:asp|php|aspx|jsp

最好不要帶 www，因?yàn)椴粠У脑捒梢詸z測二級域名。

大家都知道滲透測試就是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制，而且夠獨(dú)立地檢查你的網(wǎng)絡(luò)策略，一起來看看網(wǎng)站入侵滲透測試的正確知識吧。

簡單枚舉一些滲透網(wǎng)站一些基本常見步驟：

一 、信息收集

要檢測一個站首先應(yīng)先收集信息如whois信息、網(wǎng)站真實(shí)IP、旁注、C段網(wǎng)站、服務(wù)器系統(tǒng)版本、容器版本、程序版本、數(shù)據(jù)庫類型、二級域名、防火墻、維護(hù)者信息有哪些等等

二、收集目標(biāo)站注冊人郵箱

1.用社工庫里看看有沒有泄露密碼，然后嘗試用泄露的密碼進(jìn)行登錄后臺。2.用郵箱做關(guān)鍵詞,丟進(jìn)搜索引擎。3.利用搜索到的關(guān)聯(lián)信息找出其他郵進(jìn)而得到常用社交賬號。4.社工找出社交賬號，里面或許會找出管理員設(shè)置密碼的習(xí)慣 。5.利用已有信息生成專用字典。6.觀察管理員常逛哪些非大眾性網(wǎng)站，看看有什么東西

三、判斷出網(wǎng)站的CMS

1:查找網(wǎng)上已曝光的程序漏洞并對其滲透2:如果開源，還能下載相對應(yīng)的源碼進(jìn)行代碼審計(jì)。

3.搜索敏感文件、目錄掃描

四、常見的網(wǎng)站服務(wù)器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

五、注入點(diǎn)及漏洞

1.手動測試查看有哪些漏洞

2.看其是否有注入點(diǎn)

3.使用工具及漏洞測試平臺測試這個有哪些漏洞可利用

六、如何手工快速判斷目標(biāo)站是windows還是linux服務(wù)器？

Linux大小寫敏感,windows大小寫不敏感。

七、如何突破上傳檢測？

1、寬字符注入

2、hex編碼繞過

3、檢測繞過

4、截?cái)嗬@過

八、若查看到編輯器

應(yīng)查看編輯器的名稱版本,然后搜索公開的漏洞

九、上傳大馬后訪問亂碼

瀏覽器中改編碼。

十、審查上傳點(diǎn)的元素

有些站點(diǎn)的上傳文件類型的限制是在前端實(shí)現(xiàn)的，這時只要增加上傳類型就能突破限制了。

掃目錄，看編輯器和Fckeditor，看下敏感目錄，有沒有目錄遍及，

查下是iis6,iis5.iis7，這些都有不同的利用方法

Iis6解析漏洞

Iis5遠(yuǎn)程溢出，

Iis7畸形解析

Phpmyadmin

萬能密碼:’or’='or’等等

等等。

每個站都有每個站的不同利用方法，自己滲透多點(diǎn)站可以多總結(jié)點(diǎn)經(jīng)驗(yàn)。

還有用google掃后臺都是可以的。