渗透测试实战--dedecms漏洞复现

实验设备:一台windows服务器,一台kali,一台windows客户端

在虚拟机WIN7上使用phpstudy搭站(解压文件将文件放置在phpstudy配置文件WWW中),使用物理机进行攻击,WIN7 IP为192.168.10.5
物理机安装jdk,建立java环境,由此来运行菜刀

渗透测试实战--dedecms漏洞复现_第1张图片
网页链接是WWW后的路径(http://ip/dedecms/uploads) 根据文件存放位置来定在物理机登录这个网站(刚开始就点下一步下一步,中间要设置root密码,里面也会显示admin密码)

渗透测试实战--dedecms漏洞复现_第2张图片

我们注册一个用户000001,密码为123123,一个test用户,密码为123123
在admin后台将自己设置为会员,现实中就相当于自己充值会员,拥有会员权限
将用户设置为000001是因为管理员的用户是1所以通过抓包将自己的用户名变为1

渗透测试实战--dedecms漏洞复现_第3张图片

登录自己的账号
渗透测试实战--dedecms漏洞复现_第4张图片
打开burpsuite抓包

渗透测试实战--dedecms漏洞复现_第5张图片
点击个人空间
渗透测试实战--dedecms漏洞复现_第6张图片

取cookie中的last_vid__ckMd5 值 替换dedeuserid_ckMd5值 和Dedeuserid改为00001
渗透测试实战--dedecms漏洞复现_第7张图片

然后on放过,别点forword
渗透测试实战--dedecms漏洞复现_第8张图片
出来后发现已经是admin登录了
发生了越权
渗透测试实战--dedecms漏洞复现_第9张图片
F12修改这三处
渗透测试实战--dedecms漏洞复现_第10张图片
进入网站主页观看

渗透测试实战--dedecms漏洞复现_第11张图片

运行重置密码链接,抓包
192.168.10.5/dedecms/member/resetpassword.php?dopost=safequestion&safequestion=0.0&id=1
渗透测试实战--dedecms漏洞复现_第12张图片
ctrl+R
渗透测试实战--dedecms漏洞复现_第13张图片

进入repeater然后确认下面三个数据和之前要求的一样然后直接点go
渗透测试实战--dedecms漏洞复现_第14张图片
出现右边的数据
把图中的url修改,amp;去掉
如下,抓到的这是一个临时修改密码的url
http://192.168.10.5/dedecms/member/resetpassword.php?dopost=getpasswd&id=1& key=ro0tKeP6
进入网页可以修改密码
渗透测试实战--dedecms漏洞复现_第15张图片
渗透测试实战--dedecms漏洞复现_第16张图片
修改成功

这个密码只能在这个网页临时登录,不能推出从外面登录,因为这只是个临时密码

进入dede直接进入后台
渗透测试实战--dedecms漏洞复现_第17张图片
新建广告
渗透测试实战--dedecms漏洞复现_第18张图片

添加广告
在内容中输入一句话木马

渗透测试实战--dedecms漏洞复现_第19张图片
提交后出现一个路径
渗透测试实战--dedecms漏洞复现_第20张图片
打开中国菜刀,将上面的路径填在url后

渗透测试实战--dedecms漏洞复现_第21张图片
连接成功

渗透测试实战--dedecms漏洞复现_第22张图片

提权

将pinjector拖入
用进程注入提权
渗透测试实战--dedecms漏洞复现_第23张图片

pinjector -l
查看所有进程的权限
渗透测试实战--dedecms漏洞复现_第24张图片
找到system权限的进程
渗透测试实战--dedecms漏洞复现_第25张图片
pinjector -p 进程的UID cmd 4567

在这里插入图片描述

kali端监听
在这里插入图片描述
写一个脚本
内容为:关防火墙
开3389端口
创建用户
加入管理员组

渗透测试实战--dedecms漏洞复现_第26张图片
用中国菜刀把脚本拖入目标
在kali中打开脚本

渗透测试实战--dedecms漏洞复现_第27张图片
主机进行远程连接
渗透测试实战--dedecms漏洞复现_第28张图片
连接成功
渗透测试实战--dedecms漏洞复现_第29张图片

你可能感兴趣的:(渗透测试实战--dedecms漏洞复现)