一、WordPress
姿势一、后台修改模板拿WebShell
使用vulhub靶场搭建环境:cd /vulhub-master/wordpress/pwnscriptum docker-compose up -d
docker ps查看一下,发现容器映射在了8080端口,浏览器访问一下,一开始会让你创建网站的,我这里是做过了,直接到登录界面:
输入账号密码登录,点Appearance,Editor在这个界面咱们可以修改模板文件,咱们这里修改404.php,把多余的删了,写入一句话木马。保存
然后浏览器访问,但是我们不知道404文件的路径,怎么办呢?因为这是cms,一般是开源的,可以直接百度
百度到了答案, 网站根目录/wp-contentthemes/主题目录名,主题目录名不知道?可以在原界面看到:
咱们拼接一下路径:
404了,又可能是主题名没写对,咱们把大写换成小写再把空格去掉再试一下:
访问到了,拿蚁剑连一下
姿势二、上传主题拿WebShell
themes,add new
发现这个页面可以上传主题文件,那我们可以试着把木马上传进去
写一个木马2.php
如果直接上传的话是上传不了的
我们可以试着把他添加在模板压缩包里面上传,首先在网上下载一个模板
把2.php添加到压缩包里
然后上传,可以上传成功
参考上一个姿势,拼接路径访问2.php
拿蚁剑连一下:
二、DeDeCMS 5.7.82
有验证码的暴力破解登录
首先在这里我先演示一下如何有验证码的暴力破解登录
前言
这是登录页面,当我们输入用户名,密码,验证码后会以POST请求的方式发送到服务器上。暴力破解的原理就是将用户名,密码穷举出来。字符、数字、字母的组合几乎是无限的,理论上想要穷举出账号密码几乎是不可能的事,但是因为人的主观属性,很少有人原因去背一长串字符、数字、字母的组合因此他们设置的密码一般是有规律的,有的是生日加名字首字母,有的是亲人朋友的生日,有的是自家的门牌号.....甚至有的直接就是原有的默认密码,这就给了暴力破解可乘之机。
要避免暴力破解其实很简单,最直接有效的就是想一个复杂的无特殊含义的密码,其次就是安装防火墙...
因为这是我自己搭建的靶机,所以我用这个来练习,大家尽量不要随意在别人的网站上试,把人家网站搞崩了容易进局子
步骤
我们假设已知用户名是admin,随便输入密码验证码,抓包
我这里使用的工具是Codex验证码后台爆破V2.1,将请求包复制粘贴到指定位置
标记密码位置和验证码位置,在下面选择方式二单独爆破密码
在登录界面验证码的位置右键,新标签打开图像
页面url就是验证码地址,填到指定位置上
导入密码,字典大家在网上找,有很多
这样子请求栏部分就配置好了,咱们看爆破栏
要填返回验证码特有特征的错误关键词,咱们在登陆界面故意输错验证码
看到这里的关键词是“验证码不正确!”,注意,这里的关键词必须是响应包里有的,需要抓包确认一下,把关键词填进去点Start
最后发现当密码是admin时响应长度不同,查看响应包发现成功登陆,那密码就是admin
输入账号密码,我们成功登录
姿势一、通过⽂件管理器上传WebShel
模块,文件管理器,选择文件上传,我们可以直接上传木马
访问一下
拿蚁剑连一下
姿势二、修改模板文件拿WebShell
模块,默认模块管理,编辑主页模块
在文件里写入木马
生成,更新主页HTML,主页位置改成../index.php,勾上生成静态
点更新主页HTML
发现他给了我们文件地址。
../是返回上一级的意思,因此我们拼接地址访问:
蚁剑连一下
姿势三:后台任意命令执⾏拿WebShell
模块,广告管理,增加一个广告
选代码,写入一句话木马,确定
查看代码
他给了我们地址,我们访问一下:
姿势四:通过后台sql命令执⾏拿webshell
系统,sql命令执行工具
利用sql注入漏洞写木马需要满足三个条件
1、权限足够
2、已知网站绝对路径
3、数据库配置文件wy.ini中secure_file_priv值为空及secure_file_priv=''
这里网站绝对路径可以用函数@@datadir;
用户是我,数据库配置文件是我手动配的。我们执行命令,用
select 内容 into outfile 文件绝对路径,这代表将内容写入文件,如果文件不存在会创建一个
我们访问一下1.php
访问到了,蚁剑连一下
三、ASPCMS
ASPCMS用的是asp语言,phpstudy就不适用了。我选择在本地搭建一下iis服务
控制面板,程序,启动或关闭windows功能,勾上iis,特意勾上asp功能,我这里只是简单提一下,具体的大家可以在网上找教程,注意1.必须放到根⽬录。 2.新添加everyone 权限。3.启⽤⽗路径。
将压缩包解压到网站默认目录里
浏览器访问一下:
ASPCMS里有一个配置文件,且路径已知为/cofig/AspCms_Config.asp,并且他本身还是asp文件,有比这更方便的吗?我们可以把木马插入到这个配置文件里
我选择扩展功能,幻灯片设置
点设置,抓包
把木马写进去,这里尽量选选项的那种,不然传到文件里可能会在引号里面
写进去后访问一下配置文件
四:PhPMyadmin
PhPMyadmin是数据库的管理系统,phpstudy有有自带的
通过SQL语句拿webshell ⽤ into outfile 把后⻔写到⽹站⽬录上。
sys sql
服务器,变量,搜gen
将general log的值改成on,general log file文件的值改成网站绝对路径下的文件,这相当于把数据库日志文件定向到了我们规定的位置规定的文件名
访问一下那个文件
这个文件是数据库的日志文件,也就是说他记录着每一条sql命令的内容,我们可以将木马写到sql命令里就像select '<?php eval($_POST[a]);?>'
访问日志文件,连一下。
五:Pageadmin
将木马压缩成压缩包,⼯具, ⽂件管理, 功能菜单,上传⽂件,解压
