共计 765 个字符,预计需要花费 2 分钟才能阅读完成。
起因:
朋友告诉我一个资源网发布了他原创软件的破解版本,发邮箱告明站长侵权但站长置之不理; 无奈之下去投诉他网站,结果因为他软件没有申请专利、注册版权败诉了。 分析这个资源网:
仔细观察后我发现该资源网有点像 emlog 系统 于是我在该资源网域名后面加上了 ”/t”(域名 / t 是 emlog 系统的微语地址,我加上去确认一下)
弹出了抱歉,微语未开启前台访问!果然 是 emlog 系统!
开始代码审计
然后我 F12 审核元素,看看它 emlog 模板的文件夹名是什么
可以看出 /templates/fxw_9***.com 中的 fxw_9***.com 就是模板名字了 于是我就碰碰运气利用搜索引擎看看能不能查到这个模板
利用模板名字和 emlog 等等关键词查到了该模板的下单链接 (ps: 这么多外链看来这个资源网用的是一个泛滥的模板了)
下载后看了看排榜,和目标站点几乎一模一样! 然后我开始了代码审计最后发现评论区存在 xss 反弹注入漏洞
结果存在网址屏蔽 … 也就是如果你的评论包含链接 那么就自动把链接的文本替换为 ”【网址屏蔽】”
最后我通过 burpsuit 改了提交后的 post 请求 发出了评论的请求
开始渗透:
评论 xss 代码后在管理器查看评论后截取了管理员后台的 cookies 使用 cookies 登录了管理员后台
然后开始 getshell, 我发现上传模板、插件这两个功能也许可以实现上传 shell
结果 … 模板安装包不符合标准 原来 emlog 不是盲目接收压缩包后解压到 /content/templates/ 的于是我下了一个 emlog 官网的标准模板安装包,在里面加入了一个一句话
最终成功通过检测并上传了该模板!然后在菜刀加入 http:// 域名 /content/templates/ 模板文件夹名 / 一句话木马名字.php
该资源网服务器竟一个 web 防火墙也没有 一个一句话直接进去了,过狗我也不用搞了
