直接开干!
个人习惯拿到网站后直接nslookup一下,没想到直接解析出来了真实ip
使用nmap对端口进行扫描,扫描发现网站只开通了80和443端口,对网站通过大小写判断发现是linux服务器,linux系统但是没有开启22端口,猜测网站ssh的端口做了修改,之后我们进行全端口的扫描发现了65322端口,验证后这个端口是ssh的服务,进行了爆破之后没有成功(有点取巧)
对网站进行子域名的爆破,爆破出来的子域名全部无法访问,忽然想起来前段时间看到扫描网站js敏感泄露,也试了试,没有得到信息后就边划水边搜集
这个网站做了一些处理,目录扫描是扫描不到的,既然扫不到那就使用爬虫,爬取到了网站存在phpmyadmin,访问后脸黑
使用在线网站ip反查一下(https://viewdns.info/),攻击目标瞬间增加了5个
在旁站上发现了一个apache的配置文件泄露,会泄露网站的绝对路径和所有的域名子域,因为信息泄露的比较多,不方便上图片,到这里就得到了网站的绝对路径了,最后在一个旁站上使用爬虫发现了一枚报错注入,sqlmap居然跑不出来,好吧只能手工,普通权限,因为没有找到后台也没有去读账号密码
摸着摸着鱼又在另外一个旁站上发现了一枚sql联合注入,权限是root,都是利用爬虫去爬取参数,最后在进行手工测试,sqlmap跑不出来只能手工了,之前apache的敏感信息泄露将网站的绝对路径已经泄露(server-info)有了绝对路径后尝试对当前网站进行写入,发现权限不足,对旁站进行查找目录写入
最后通过测试主页右击复制图片链接,发现了/home/xxx/xxxx/attach/1/这个目录是可以成功写的,但是访问写入的shell会去跳转到其他子域下,响应是403,迷惑行为最后通过读取网站的.htaccess发现网站做了限制, ,所以我们写入成功的话也是没有办法连接的
只要绕过这个规则,在上一级目录attach这个目录下成功写下webshell,发现不止一个高权重网站,疯狂打码。
