漏洞挖掘365天挑战——Day047:漏洞报告学习之How I was able to bypass the admin panel without the credentials.

链接:https://infosecwriteups.com/how-i-was-able-to-bypass-the-admin-panel-without-the-credentials-d65f90e0e1e4

作者使用wappalyzer来访问一个网站的时候,发现是个WordPress,但是wp-admin并没有得到登录页面。

然后使用wpscan来扫描,发现并不是WordPress。

作者就开始了爆破

先是目录爆破 使用了ffuf来进行目录枚举,发现了一个sitemanager的目录,得到了CMS的登录页面

尝试使用一些默认用户名密码都无效,然后继续目录枚举

又拿到了一些端点,有errors _ php.txt 和settings.txt

打开errors_php.txt里面有一些内容:

出错的信息,还把内部的目录结构给报出来了。

setting.txt 里有一些cookie

date: 2020–11–20 15:19:41
settings
headers: GET
Host: http://www.example.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: https://www.example.com/sitemanager/admin.php
Accept-Encoding: gzip, deflate, br
Accept-Language: cs,en-GB;q=0.9,en;q=0.8,sk;q=0.7
Cookie: __stripe_mid=b1a624a3-b1da-45aa-9aca-6236dd8###; _ga=GA1.2.805574655.149725####; __atuvc=0%7C41%2C0%7C42%2C0%7C43%2C0%7C44%2C1%7C45; language=cs; PHPSESSID=lqcp890ff17r02erb#####; _gid=GA1.2.1643979482.1542716##; login_config=u%3admin; _gat=1
IP info:
script: /sitemanager/settings.php
IP:213.**.**.**
ISP info: 213.**.**.**
Session: lqcp890ff17r02erbkot5u###
Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36

把这些搞到burp里面去,然后访问,得到了200,说明正常访问了。

然后增加了/dashboard.php,就获得了管理员访问权限。

我的想法

这里的关键点就是你用wappalyer发现是WordPress,但是你用wpsacan缺扫描不到wp-admin, 说明wappalayer是错误的。

这里用ffuf来进行目录枚举是正确的,不然就没有突破口了。拿到了一些报错的文件,其实思路就有了。

漏洞挖掘365天挑战——Day047:漏洞报告学习之How I was able to bypass the admin panel without the credentials.”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s