探究公眾號介面漏洞：從後臺登入口到旁站getshell

xiaohu430發表於2023-04-17

探究公眾號介面漏洞：從後臺登入口到旁站getshell

1、入口

發現與利用公眾號介面安全漏洞

某120公眾號提供了一處考核平臺，透過瀏覽器處開啟該網站。

開啟可以看到一處密碼登入口，試了一下常用的手機號和密碼，沒有登入成功。

這個時候掃個目錄吧。掃到了一處管理員頁面：/index.php?c=home&action=admin_login

管理員弱口令

使用弱口令admin123，登入成功了,看一看，沒有可以上傳的點

前臺弱口令

在burp裡面找到一處未授權介面index.php?c=xx120&action=test_admin

點開看一看只是一些使用者手機號和成績，這個時候想到前臺就是透過手機號登入的，找幾個使用者手機號試一下。
訪問前臺登入口：/index.php?c=account&action=login
136XXXXXXXX/123456
成功登入！

好像並沒有什麼可以利用的地方。。。。

sql注入

使用burpsuite抓包看看有沒有引數存在sql注入。（我個人喜歡用一個小外掛xia SQL，這個找sql注入還是很方便的），果不其然，找到一個：
index.php?c=hd120&action=edit_test&id=7+0

index.php?c=hd120&action=edit_test&id=7-0

這麼明顯，那麼利用sqlmap跑一下吧

有注入，也是dba許可權，--os-shell沒法爆破，找找路徑吧。。。。

2、發現旁站：

透過ICP/IP備案找找這個網站有沒有什麼其他資訊

這個域名的備案號結尾是2，可那個網站是備案號是1，直接搜尋備案號看看

找到了另一個域名，訪問看一看什麼樣的

也是一個類似於小程式的介面，盲猜管理員路徑一摸一樣
/index.php?c=home&action=admin_login

果然，使用弱口令再登入一次

檔案上傳漏洞與getshell攻擊

想起前臺有個釋出的功能點，返回去看看。

顯示要登入得先註冊，那我先註冊一個賬號，還好不限制使用者手機號

ok了，我來登入一下。

登入成功，看看有些什麼功能點，釋出處沒有上傳的地方，但是有上傳頭像的地方。

這個地方就可以利用上傳木馬檔案進行getshell了
使用burp抓包，沒有任何的防護，直接一句話木馬，返回的路徑名存在cookie裡面

利用蟻劍連線：

成功連線

原來120的網站也在同一個根目錄下

除了admin123還有另外的管理員密碼

這比剛剛就多了一些欄目，還洩漏了身份證號等敏感資訊。。。