楼主: L.N.

小明渗透日记】小明也会代码审计

[复制链接]
  • TA的每日心情

    2016-5-24 16:08
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-6-14 14:09:02 | 显示全部楼层 |阅读模式
    响应90大大的号召。。。。
    这文章原本是发在90sec的,现在挪到ihonker

    201x年1月10日    星期五    天气晴    宜搞站禁搞基   

    小明在工地已经搬砖一个月了,一张图体现小明生活现状。今天老大端着咖啡走了过来,用着赞许和认可的眼光看着我说:“小明啊,小伙子不错啊,这有个光荣的任务,你愿不愿意做?”。小明心里一顿诅咒,嘴上还是乖乖的说:“没问题”!
    2a4c9463-6b91-47be-bb56-5445678098f9.jpg

    0x01 渗透中的代码审计
        渗透中的代码审计和平时挖漏洞还是有很大区别的,首先就是环境问题,必须把握程序所处环境(不要你挖个linux下才能执行的漏洞,而目标却是windows),比如:你发现网站有nginx的解析漏洞xxx.xx/1.php,你现在的目的就是挖一个能够把特定代码写道服务器上web目录的漏洞,然后你发现会有报错记录到日志文件的问题,然后直接报错中加入代码,然后访问日志文件/log/xx.log/1.php成功getshell。

        说了那么多其实就是想说渗透中挖的漏洞可能在平时看上去并不算一个漏洞。渗透中挖掘漏洞重点是把握所处环境,把握自己需求,尽量的黑盒挖掘有用信息判断环境配置,然后再白盒代码。当然说道了代码审计,你必须得有代码啊,代码来源可能有很多种:1.程序开源的、2.搞了一个同源码搭建的其他网站、3.发现了个代码读取漏洞、4.svn源码泄漏、5.网站目录下来了个webroot.zip等等(这些基本是我遇到过的情况)



    0x02 按部就班找短板
        拿出旁坐大牛给的二级域名神器(密码核武器),秒出二级域名,大致秒看来下,发现“Powered by X-Space 4.0 UC”,顿时我就高兴了,多人博客程序,国内两大多人博客程序lxblog(phpwind的)和SupeSite/X-Space(康盛的(康盛不熟,dz知道么))都停止更新了,也就是说漏洞没修补,啪啪啪wooyun一搜果然有人挖,你懂的,报错注入

    [PHP] 纯文本查看 复制代码
    http://xxx.xxxx.xxx/batch.common.php?action=modelquote&cid=1&name=members%20where%201=1%20and%201=(updatexml(1,concat(0x7c,(select%20username%20from%20supe_members%20where%20groupid=1%20order%20by%20uid%20limit%209,1),0x5e24),1))%23



        通过这个注入我们获得了一下信息:


        1.可访问数据库:dzbbs、supesite、ucenter,哈哈是康盛那一套。

        2.sqlmap跑出所有管理员数据(加盐的不代表没有破解希望啊)

        3.uc_key,这个才是重点,康盛全套东西都是以ucenter为用户数据核心的

        通过以上的信息思路来了:
        1.通过supesite注入-->获取ucenter数据库中uc_key(dzbbs的uc_key和supesite的uc_key)-->uc_key getshell

        2.破解出一个管理员密码(dzbbs或supesite)-->进后台getshell

        说点题外话:上边提到lxblog让我想起来有一次搞站,也是搞不动了,但是发现了是lxblog的程序,没办法了,只有硬挖了,当时我灵机一动,跑去官网论坛翻阅bug报告留言,看见有人报告bug没有引起开发的重视,然后我通过这个bug快速挖了个前台注入和后台getshell



    0x02 细诉UC_KEY getsehll
        1.寻找uc_key藏身处

            a.配置文件

            b.数据库

                ucenter中必有

                dz 7.2等数据库中有,dz x系列无

        2.使用uc_key

            a.康盛系列getshell(exp没时间全部写了)

            b.第三方getshell(第三方程序使用ucenter,exp需特定自写)

        3.一个exploit不能走天下

            uc_key getshell的exp不是每个程序都通用的,有的加密函数不同,需自己本地测试

        4.此次渗透日了狗

            各种不可写,只有特定目录可写,uc_key getshell失败,但峰会路转的是破解出了一个管理员,于是自挖supesite后台getshell

    0x03 被逼自己挖漏洞
        按理说,supesite后台getshell,是很容易的,但是上面已经说了,各种不可写。

        在这种情况下,不用写的getshell漏洞成了必经之路(什么远程文件包含,本地文件包含(包含日志文件),代码执行等等),最后我发现了一个类似插件上传的地方,插件上传一般是传压缩包,幸好压缩包放置目录是可写的,但是解压目录就不可写了,运气好的是,程序在解压压缩包后 在写入插件目录之前,有一个包含,包含的是压缩包里的一个特定文件,哈哈,于是构造特定压缩包,成功向可写目录写入webshell。(具体代码分析不写了,本来打算写的,但是前几个投稿乌云被pass,这篇是以前写好的稿子)

    0x04 总结
        最后成功拿到shell,小明累的头昏眼花回了家,已再无精力向吉泽老师学习新知识。



    ps:第2部分和第3部分,本打算各种详写,和代码分析,最后,投稿失败,打击信心,不写了。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2015-7-7 10:02
  • 签到天数: 14 天

    [LV.3]偶尔看看II

    发表于 2015-6-14 21:36:03 | 显示全部楼层
    6666    想大牛学习。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2019-12-19 16:52
  • 签到天数: 157 天

    [LV.7]常住居民III

    发表于 2015-6-15 13:20:56 | 显示全部楼层
    没看见代码啊, 代码审计 的基础是先看懂这代码在做什么
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2015-7-12 13:25
  • 签到天数: 19 天

    [LV.4]偶尔看看III

    发表于 2015-6-15 22:22:50 | 显示全部楼层
    日狗了

    小明 我是隔壁老王 还认识我不
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2015-7-12 13:25
  • 签到天数: 19 天

    [LV.4]偶尔看看III

    发表于 2015-6-15 22:22:53 | 显示全部楼层
    日狗了

    小明 我是隔壁老王 还认识我不
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-6-17 07:56
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-6-17 08:11:24 | 显示全部楼层
    小明也是醉了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 03:07:08 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-4-14 17:44
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-6-27 06:10:28 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 09:22:00 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-4-14 17:44
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-6-27 14:15:41 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 16:39 , Processed in 0.025388 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部