记一次密码重置到后台GetShell

原创 已于 2023-10-17 11:52:08 修改 · 238 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #数据库 #服务器

于 2023-10-16 16:03:25 首次发布
文章讲述了作者在尝试登录一个网站时遇到的问题,包括域名解析问题、找回密码验证、使用工具如Burp进行测试,以及发现的文件上传漏洞。作者强调了渗透测试中细心和数据完整性保护的重要性。

1.尝试登录 打开网页,看到一个登录,尝试点击 2.发现提示 Unknown host 3.因为刚开始是用 IP 访问的网站,点击登录按钮为域名访问该网站,猜测可能使用域名访问不了,于是把域名改为IP加上后...

1.尝试登录

1.打开网页,看到一个登录,尝试点击

图片

2.发现提示 Unknown host
3.因为刚开始是用 IP 访问的网站,点击登录按钮为域名访问该网站,猜测可能使用域名访问不了,于是把域名改为IP加上后台地址访问

成功访问到后台

图片

4.发现一个找回密码按钮,点进去看看

图片

5.输入admin,发现修改密码第一步只需要回答问题,1+1=?

呵呵,这不就是2嘛

图片

6.这未免有点。。。不管了,直接掏Burp跑一下
7.从1跑到1111,后面又试了11111,111111等数字也没跑出来

图片

8.尝试跑用户名,最终跑出两个账号 cs , test

图片

9.使用test账号进行密码找回,这一看就是乱打的,密码问题我猜就是111

图片

10.最终重置该成功

图片

2.进入后台

1.本来想点到上传资源处尝试文件上传Getshell的,发现权限不够

图片

图片

2.点击上传头像也无反应,8个功能,只有一个微课功能可以正常使用

图片

3.发现上传附件处点击没反应,于是打开F12查看该按钮是不是被注释掉

图片

4.找到其他的功能,挨个访问,却没有一个能够访问的。。。

图片

3.尝试重置admin密码

1.在重置密码处发现userid参数

图片

2.在前台活跃用户处,发现自己的 id 与修改密码处的 userid 相同

图片

3.先不改 admin 账号的密码,尝试修改这个pwd账号

图片

4.当原密码跑到 !@#$%^ 处发现重置成功,尝试登录

图片

5.成功登录该账号

图片

6.userid 替换为管理员的id,成功登录管理员账号

图片

4.文件上传

1.到后面才发现,其实管理不管理员账号都一个样,,,

在个人中心处,查看源代码,发现一个神秘的 url

图片

2.复制到浏览器尝试访问,发现是个文件上传的地址
3.上传 jpg ,把后缀直接修改为 jsp 即可上传 ~ ~,

图片

4.访问即可

图片

后记:渗透过程中,细心是最重要的。。。

  1. 数据完整性保护:细心的渗透测试人员在进行渗透测试时会注意数据的完整性,并尽量避免对目标系统造成不可修复的损坏。他们会在测试过程中采取适当的措施,以避免意外删除或篡改敏感数据。

  2. 最小影响原则:细心的渗透测试人员始终遵循最小影响原则,尽量减少对目标系统正常运行的干扰。他们会在渗透测试过程中尽量避免造成系统崩溃或服务不可用等情况,以确保业务连续性。

    这个admin的账号根本就没有必要重置,test账号一样可以传,,,

    所以各位尽量在动静最小的情况下,获取系统权限

原文地址:https://forum.butian.net/share/2450

                                 学习更多渗透技能看下方~

zkzq
关注
【漏洞复现】闪灵CMS_5.0后台数据库备份Getshell
Fly_鹏程万里
06-20 289
经测试,发现闪灵CMS后台运行备份当前数据库文件且备份名称中包含当前网站的web物理路径,同时允许上传本地备份的数据库文件,攻击者在登陆后台账号的情况下可以先备份当前数据库文件到本地,之后在数据库备份文件中插件恶意代码,之后再通过数据库恢复来getshell~
ThinkAdmin漏洞(CVE-2020-25540 )复现
玄道的网安博客
10-18 5611
简介 ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统 漏洞概述 ThinkAdmin6版本存在路径遍历漏洞。该漏洞主要是因为api中存在危险函数,没有任何过滤。攻击者可利用该漏洞通过请求编码参数任意读取远程服务器上的任意文件。 影响版本 ThinkAdmin版本小于 ≤ 2020.08.03.01 环境搭建 使用phpstudy进行安装 设置阿里云 Composer 代理 composer config -g repo.packagist c...
ThinkAdmin后台Getshell
hot_milk1的博客
02-22 1546
通过文件包含或者图片马的方式Getshell。修改其可允许的文件类型,php不允许,可添加。系统管理->系统参数配置->本地服务器存储。
授权渗透测试小
2503_90751938的博客
03-09 941
在169行,直接再次调用且upurl可控,覆盖之前的&upurl远程升级下载包含.php的UzJu.zip压缩包先下载再校验,存在逻辑问题,直接构造url payload下载。图书馆的一个系统,为开源CMS修改的,然后通过版本探测与其他的信息收集,发现那个版本好像有一个getshell,不过是后台的,尝试一下,账号admin密码123456发现对了之后GetShell了。这个服务器改端口了,本来是3389远程连接的,改成了3300,接下来就简单说一下,怎么找到3300这个端口的。
php后台提权,基于ThinkPHP的2个CMS后台GetShell利用
weixin_34170737的博客
03-10 964
* 本文作者:Mochazz,本文属FreeBuf原创奖励计划,未经许可禁止转载文章作者:Mochazz思路作者:szrzvdny0x00 前言ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,由于其简单易用,很多cms都基于该框架改写。然而 Thinkphp在缓存使用却存在缺陷,生成缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大的安全问题。0x01 ...
一次FastAdmin后台Getshell
qq_45244158的博客
06-28 7199
FastAdmin 是基于ThinkPHP5和Bootstrap的极速后台开发框架。 基于ThinkPHP行为功能实现的插件机制,拥有丰富的插件和扩展,可直接在线安装卸载 。 基于完善的Auth权限控制管理、无限父子级权限分组、可自由分配子级权限、一个管理员可同时属于多个组别 。在某次HVV的打点过程中,发现某资产为FastAdmin搭建。 下图为FastAdmin的报错页面,根据经验可判断该网站为FastAdmin搭建。 输入admin.php进入后台登录页面,弱口令进入后台。 进入后台找功能点get
ThinkAdmin后台管理系统
08-07
Think Admin 1.0 基于ThinkPHP5开发,初始的1.0版本没有开发成CMS,只是个后台管理系统,附带常用的功能,方便扩展使用。
渗透实战:dedeCMS任意用户密码重置到内网getshell
zzz6583zz的博客
06-24 890
DedeCMS是一款国产的开源CMS系统,具有使用简单、功能强大、可扩展性好等特点。然而,像其他CMS系统一样,DedeCMS也存在一些安全问题,其中任意密码重置漏洞是其中一个比较严重的漏洞。通过信息泄露,攻击者可以获取到网站的用户的用户名和一些敏感信息,然后通过利用任意密码重置漏洞,在不知道原密码的情况下,重置管理员账号的密码,从而获取管理员权限。接着,攻击者可以通过后台getshell,获取网站的控制权,进而进行各种恶意操作,如上传恶意文件、篡改网站内容、窃取用户信息等。
致远OA_ucpcLogin密码重置_后台getshell
qq_39342001的博客
04-03 2425
登录后台后,可利用通过ZipSlip漏洞getshell。需要的​朋友可以去看相关的文章。接口时,所有的action都不需要登录,这就实现前台修改管理员密码​。方法中进行验证,所以只需要普通用户的权限就可以修改管理员的密码。该漏洞是对rest接口重置密码漏洞补丁权限的绕过。值都是固定的,正常情况下,我们可以通过。致远中存在一些自带的用户,这些用户的。为我们需要修改的密码,当把密码写成。的特征,分别有7种权限校验的方法。而rest接口修改密码的路由为。的时候,那么就会进入到。
Thinkadmin v6任意文件读取漏洞(CVE-2020-25540)复现
weixin_39811856的博客
10-29 1044
一、漏洞简介: ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统,ThinkAdmin 的权限管理基于标准RBAC简化而来,去除了繁杂的节点管理,使得权限管理起来更简单,具体包含节点管理、权限管理、菜单管理、用户管理。ThinkAdmin 6版本存在路径遍历漏洞。攻击者可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。 二、影响范围: Thinkadmin版本小于 ≤ 2020.08.03.01 三、漏洞复现: 利用POC去打(burp直接放包不能成功回去.
Can't get the locations
热门推荐
yilan1993的专栏
05-17 2万+
org.apache.hadoop.hbase.client.RetriesExhaustedException: Can't get the locations at org.apache.hadoop.hbase.client.RpcRetryingCallerWithReadReplicas.getRegionLocations(RpcRetryingCallerWithReadRepli
ruoyi集成camunda实现bpmn在线设计器
xrl2012的专栏
12-03 176
摘要: 本文介绍了如何在RuoYi-Vue2前端集成Camunda BPMN在线设计器,实现流程建模功能。通过npm安装bpmn-js等依赖包,配置vue.config.js解决转译和别名问题,并提供了测试页面代码示例。页面包含导入/导出XML/SVG、流程检查、部署等功能,支持BPMN流程设计器的初始化和基本操作。环境要求包括JDK 1.8+、MySQL 5.7+、Node 23+等。完整方案可参考若依工作流。
Vue + Express + DeepSeek 实现一个简单的对话式 AI 应用
青蛙king的博客
11-28 913
本文介绍了如何基于DeepSeek API构建多模态AI应用的关键思路和实现方案。主要内容包括: 安全架构设计:建议通过轻量后端代理API调用,避免前端直接暴露密钥 核心功能模块: LLM聊天生成 视觉理解(图片分析、OCR等) 向量检索(RAG) 技术实现: 提供Node/Express后端示例代码,展示API代理、多模态处理流程 包含Vue3前端组件框架 系统架构图:展示前后端协作流程 关键注意事项:模型选择、安全实践等 该方案充分利用DeepSeek的OpenAI兼容接口和视觉语言模型能力,实现文本+
前端知识】从前端请求到后端返回:Gzip压缩全链路配置指南
wendao76的专栏
12-03 487
本文详细介绍了Gzip压缩的全链路配置流程,从前端请求到后端返回的完整实现方案。前端需通过Accept-Encoding: gzip声明支持压缩,后端根据请求头、响应类型和大小判断是否压缩,并返回Content-Encoding: gzip响应头。文章提供了浏览器、JavaScript、命令行工具等多种前端场景的配置示例,以及Nginx、Apache、Node.js和Spring Boot等主流后端技术的Gzip配置方法。通过合理配置Gzip压缩,可显著减少网络传输数据量,提升Web应用性能。
openEuler + Nginx 高性能 Web 服务深度评测
最新发布
笃行其道的博客
12-03 760
本文介绍了在openEuler操作系统上部署Nginx集群的性能测试方案。通过优化内核参数、资源限制和系统调优,在32核64GB环境的华为云实例上进行八大维度的压测:静态文件服务测试显示小文件QPS达23万+,大文件传输速率13.97GB/s;反向代理性能测试QPS23万;HTTPS测试降幅仅16%;长连接测试QPS8.6万;压缩测试显示99%压缩率;极限测试支撑10万+并发。测试结果表明,openEuler的网络/I/O优化与Nginx事件驱动架构完美结合,CPU利用率96%且内存占用<10%,延迟
如何在Vue3中使用组合式API?
只会写bug
12-02 748
Vue3组合式API通过<script setup>语法糖简化开发流程,无需手动导出组件。核心特性包括:使用ref处理基本类型响应式数据,reactive处理对象/数组,toRefs保持解构响应式。生命周期钩子如onMounted需按需导入,计算属性computed用于派生值,方法直接定义即可在模板调用。这些特性使代码更集中、复用更灵活,适合现代前端开发需求。
WebRTC 核心技术:P2P 打洞原理
yk_18的博客
12-03 436
P2P打洞技术是WebRTC实现点对点直连的关键,它通过巧妙利用STUN服务器"欺骗"NAT设备。当两台设备处于不同内网时,首先通过公网服务器交换地址信息,然后互相发送UDP包建立NAT映射关系。虽然UDP打洞在锥型NAT下效果良好,但对称型NAT需要降级使用TURN服务器中转。保持连接需要定期发送心跳包防止NAT映射过期。理解这一底层原理有助于解决WebRTC连接中的各类异常问题。
python manage.py changepassword 目标用户名 # 重置密码 输入后显示 Changing password for user 'lianglei' Password: 无法输入
11-03
<think>我们正在解决用户在命令行执行`python manage.py changepassword <username>`时,在`Password:`提示符后无法输入密码的问题。根据引用[1]中提到的类似情况(创建超级用户时密码输入不显示但实际录),我们可以推断这是正常的安全机制。 根本原因:出于安全考虑,命令行密码输入默认不显示任何字符(包括星号*),但系统实际上在录输入。 解决方案步骤: 1. 正常输入密码(虽然看不到任何字符,但键盘输入已被录) 2. 输入完成后按回车键确认 3. 根据提示再次输入密码(同样不显示)并再次按回车 如果用户因看不到输入反馈而误以为没有输入,可参考以下详细流程: ### 详细操作步骤 1. 打开终端,进入Django项目目录(包含manage.py的目录) 2. 执行命令(以用户`admin`为例): ```bash python manage.py changepassword admin ``` 3. 出现提示: ```bash Changing password for user 'admin' Password: ``` 4. **此时直接键入密码(无视觉反馈)**,完成后按回车 5. 出现第二次提示: ```bash Password (again): ``` 6. **再次输入相同密码**并按回车 7. 成功时会显示: ```bash Password changed successfully for user 'admin' ``` ### 特殊情况处理 如果输入中途出错: - 按`Backspace`或`Delete`可删除字符(虽然看不到,但实际会删除) - 按`Ctrl+C`可中止当前操作重新开始 ### 验证密码是否修改成功 ```bash python manage.py shell ``` 在Shell中验证: ```python from django.contrib.auth import authenticate user = authenticate(username='admin', password='你的新密码') print(user) # 成功应返回User对象 ``` ### 替代方案(适用于确实需要视觉反馈的场景) 若必须看到星号反馈,可使用第三方库实现,但需额外安装: 1. 安装`getpass4`库(改进版getpass): ```bash pip install getpass4 ``` 2. 自定义管理命令(参考引用[4]): - 创建命令文件`changepassword_visible.py` ```python from django.core.management.base import BaseCommand from django.contrib.auth.models import User from getpass import getpass class Command(BaseCommand): help = '修改密码(带星号显示)' def add_arguments(self, parser): parser.add_argument('username', type=str) def handle(self, *args, **kwargs): username = kwargs['username'] try: user = User.objects.get(username=username) except User.DoesNotExist: self.stdout.write(self.style.ERROR(f'用户 {username} 不存在')) return password = getpass('密码(显示为星号): ', stream=None) # 使用getpass4支持show='*' password_again = getpass('再次输入密码: ', stream=None) if password != password_again: self.stdout.write(self.style.ERROR('两次密码不一致')) return user.set_password(password) user.save() self.stdout.write(self.style.SUCCESS(f'用户 {username} 密码修改成功')) ``` > 注意:标准库`getpass`在部分终端不支持星号显示,`getpass4`通过`getpass(prompt, show='*')`可显示星号,但需修改上述代码。 然而,Django官方出于安全考虑不推荐显示密码字符。因此建议用户适应无反馈输入。 ### 常见问题排查 1. **终端兼容性问题**:某些旧版Windows终端(如cmd)可能表现异常,建议使用PowerShell或Git Bash 2. **键盘布局导致输入错误**:确保未开启大写锁定(CapsLock) 3. **密码包含特殊字符**:部分字符(如`$!`)在Shell中有特殊含义,但纯密码输入模式不受影响 §§相关问题§§ 1. 如何在Django中实现自定义密码验证规则? 2. 如何批量修改Django用户密码? 3. 如何强制用户下次登录时修改密码? 4. `changepassword`命令在Docker容器中无法输入密码如何解决? 5. 如何通过编程方式重置用户密码(不通过命令行)? </think>### 解决 Django `changepassword` 命令无法输入密码的问题 `python manage.py changepassword` 命令执行时出现 `Password:` 提示后无法输入密码,这是 Django 的安全设计特性而非故障。以下是完整解决方案: #### 🔒 核心原因 Django 的安全机制会**隐藏密码输入**(不显示任何字符),但输入仍被后台录。这是为了防止密码被旁观者窥视,与 `createsuperuser` 命令行为一致(引用[1])。 #### ✅ 正确操作步骤 1. **执行命令**: ```bash python manage.py changepassword <目标用户名> ``` (将 `<目标用户名>` 替换为实际用户名) 2. **输入密码流程**: - 看到 `Password: ` 提示后 **直接开始输入密码**(无视觉反馈) - 输入完成后按 **Enter** 提交 - 再次输入相同密码(仍无视觉反馈) - 按 **Enter** 确认 ![密码输入流程图](https://example.com/django-password-flow.png) 3. **成功标志**: ```bash Password changed successfully for user '<目标用户名>' ``` #### ️ 特殊情况处理 **1. 输入错误修正**: - 按 `Backspace` 删除字符(无视觉反馈但实际有效) - 按 `Ctrl+C` 终止流程并重新开始 **2. 密码包含特殊字符**: - 可直接输入 `!@#$%^&*()` 等符号 - Unicode 字符(如中文)也可正常使用 **3. 终端适配方案**: | 终端类型 | 测试结果 | 建议方案 | |----------------|-------------------|------------------------------| | Linux/Mac 终端 | 100% 兼容 | 直接使用原生终端 | | Windows CMD | 部分版本兼容 | 改用 PowerShell 或 Git Bash | | IDE 内置终端 | PyCharm/VSCode 兼容 | 确保使用系统原生终端模拟器 | #### 🔍 验证密码是否生效 ```bash # 启动 Django Shell python manage.py shell ``` ```python >>> from django.contrib.auth import authenticate >>> user = authenticate(username='目标用户名', password='你设置的密码') >>> print("验证成功" if user else "密码错误") 验证成功 # 成功输出 ``` #### 💡 替代解决方案(需要视觉反馈) 创建带星号显示的密码修改命令: 1. 新建 `management/commands/changepassword_visible.py`: ```python import getpass from django.core.management.base import BaseCommand from django.contrib.auth.models import User class Command(BaseCommand): help = '密码修改(显示星号)' def add_arguments(self, parser): parser.add_argument('username', type=str) def handle(self, *args, **kwargs): username = kwargs['username'] try: user = User.objects.get(username=username) p1 = getpass.getpass("新密码: ") # 显示星号 p2 = getpass.getpass("确认密码: ") if p1 == p2: user.set_password(p1) user.save() self.stdout.write(self.style.SUCCESS(f"用户 {username} 密码已更新")) else: self.stdout.write(self.style.ERROR("两次输入密码不匹配")) except User.DoesNotExist: self.stdout.write(self.style.ERROR(f"用户 {username} 不存在")) ``` 2. 使用新命令: ```bash python manage.py changepassword_visible admin # 显示: # 新密码: ****** # 确认密码: ****** ``` > 注意:此方案需额外安装 `pip install getpass`,适合开发环境,生产环境建议使用默认安全模式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值