【i春秋 综合渗透训练】渗透测试笔记

网站是齐博CMS V7.0 

 

1.要求获得管理员密码：

 

利用齐博CMS V7.0  SQL爆破注入漏洞即可得到管理员用户名密码    https://www.cnblogs.com/vspiders/p/7399088.html

 

2.要求获得服务器管理员桌面的flag:

 

利用齐博CMS V7.0 后台getshell   https://www.uedbox.com/post/41188/   

 

3.bbs.test.ichunqiu数据库中admin的salt值

 

第 3 题终于引入了 http://bbs.test.ichunqiu 论坛社区的数据库了。出题人好像为了方便我们直接进行本题，特意在主站根目录下放了木马 /2.php，免去了上题插入木马的过程：

所以下次想直接复现第 3 题，用菜刀连上此木马即可：

我们在根目录下可看到 /dedecms_bak 的文件夹，进一步搜索到 DEDECMS 的默认数据库配置文件为 /data/common.inc.php，打开一看，果不其然：

打开主机终端，用 nslookup 命令可得到论坛的 IP 地址就是 172.16.12.3，顺便可看到主站的 IP 地址为  172.16.12.2：

注意到数据库配置信息中是根用户权限，因此若能连上 DEDECMS 在 172.16.12.3 上的数据库，那么 Discuz! 在 172.16.12.3 上的数据库也能被访问到！于是，在菜刀 添加SHELL 的配置中填入数据库信息：

保存设置后右键条目，选择 数据库管理，成功连接后可见服务器端的数据库管理界面：

又经过一番搜索，得知 ultrax 正是 Discuz! 的数据库，而 dedecms 显而易见是 DEDECMS 的。我们的目标应该是 ultrax 数据库中某个表的 salt 字段。

因此，只要输入一条简单的 SQL 语句，点击 执行，有关 salt 字段的所有信息将会呈现：

SELECT * FROM COLUMNS WHERE COLUMN_NAME = 'salt'

最终我们在 ultrax 数据库的 pre_ucenter_members 表中发现了 salt 字段的值为 9b47b6：

到此为止，本次渗透测试的指定任务已达成。

意犹未尽的各位看官可接着往下看，既然我们把 172.16.12.3 上的数据库给爆了，那也趁此机会，不妨把 172.16.12.2 上的数据库也给爆了。经过搜索后发现，齐博 CMS 的默认数据库配置文件为 /data/mysql_config.php：

然后在菜刀 添加SHELL 的配置中修改数据库信息：

成功连接后，在 qibov7 数据库的 qb_members 表中发现第 1 题中管理员的账号与密码哈希值：

至此，本题两个服务器中的数据库系统已被我们打穿。