一次艰难获取后台经历-metinfo5.3.18密码重置漏洞复现

前期准备

内部搭建环境进行了一次为期两天的演练，通过给的测试地址发现这是一个静态网页，发现URL中有参数id=某某数，心想着这就要被我挖掘出来了，我激动的手指颤抖着敲打键盘，尝试用sqlmap跑了下发现进行了拦截，最后手工尝试也没成功。然后又尝试看有没有跨站漏洞，发现对输入的数据进行了过滤。内心一下子就拔凉拔凉的，打算擦干眼泪接着整，不信挖掘不到漏洞，准备大干一场。开始扫描端口和目录，余光一扫看到吃饭点了，迅速关上电脑迈着欢快的步伐。。。。。。

挖掘漏洞

吃得饱饱的回来查看开放的端口

发现开放shh,进行暴力**没有成功。转换目标，打开扫描好的目录如下：

发现存在/phpadmin/和txt.php路径，第一个路径是是登录phpadmin后台，进行了**和绕过、shiro反序列化都失败了。

接下来尝试打开txt.php目录，打开是phpinfo界面如下：

通过phpinfo 可以获取php环境以及变量等信息。尝试目录遍历，文件包含等等方法尝试了下结果没有结果，忙了一下午没有啥结果，怪自己技术太菜，准备回去好好睡一觉说不定就有灵感了哈哈。

大清早来到公司想着看是否存在cms漏洞，通过网页源码发现cms版本是metinfo5.3.18,想办法找到后台，最后在扫描的目录robots.txt(一种存在网站根目录下的ASCLL编码的文本文件，用来告诉蜘蛛程序什么文件可以被查看)。

发现/admin_member/路径，通过浏览器进行访问如下：

找到登陆口了，接着我们利用版本存在的密码重置漏洞进行复现，开始用BP抓包，具体方法可以找到教程，我这里就不多说了。通过vps监听（刚开始用kali监听失败了，具体原因也没研究出来），监听结果如下:

复制新密码地址，这个地址和我的测试地址IP不符，需要手动修改下，修改成我测试的IP加端口号。最后出现修改密码的网页如下图：

密码修改成123456，返回登录页进行重新输入账号admin，密码123456进成功登录到后台。

因为需要写报告，时间不够了，就没有在进行webshell了。目前存在问题的网站要及时升级版本奥，防止恶意人员利用。