0x00 前言

好久没有更新了,已经长草无疑。

之前团队要搞个测验的系统,用来安全培训考核,团队内又没啥人搞开发的,自己又想学一下vue,就用vue+ci 撸了一个。

搞了一个星期基本搞完(开发能力真的菜),后面又测试修了几天bug,这才有点时间研究一下其他的,本来今天还有一篇文章的,但是有一些其他原因暂时就不发了。

有一个计划是想把先知通用列表的软件都研究一下,慢慢搞起来。

0x01 wdcp安装和简介

为什么选择wdcp呢?主要是因为之前在先知看到了一个宝塔面板的漏洞,随想找一些主机面板的软件研究一下,而先知通用列表里面就有一些。

那么先从wdcp开始,分析一下wdcp的源码。

从官网介绍开始(https://www.wdlinux.cn/wdcp/install.html),我们知道wdcp的安装有两种方式,一种是源码安装的方式,另一种RPM包安装,这里为了研究我们选择用源码安装。

下载lanmp_laster.tar.gz,解压发现都是一些shell文件。一是安装的shell,二是配置的conf文件。

为了方便就开了一个腾讯云的ubuntu实验室,来测试。(主要是没钱)

安装

wget http://dl.wdlinux.cn/lanmp_laster.tar.gz

tar zxvf lanmp_laster.tar.gz

sh lanmp.sh

等了将近三十分钟安装好了。

目录放不了了,腾讯云到时间了,没截图。

大概凭借着记忆列一下关键的信息

1,wdcp的存放目录都在/www/wdlinux/下

2,/www/wdlinux/web/default  目录下放着的是80端口的页面 包含了安装完成的主页面、探针、phpinfo等,与及一个phpmyadmin,这个phpmyadmin的目录名是有pma_xxx组成.

3,/www/wdlinux/wdcp/目录下放着8080端口,也就是后台页面的一些东西,比如/www/wdlinux/wdcp/data/ 目录下放着一个名为wdlinuxdb.db的sqlite3数据库,有几张表,用于记录登录日志,后台用户,ftp,网站,任务等信息。

4,其中/www/wdlinux/wdcp/bin/ 目录下放着一个wdcp的执行文件,所有的后端逻辑都在里面。

目录大概就这样,登进后台看了一下:

  1,web和mysql默认账号密码为 admin/wdlinux.cn 和root /wdlinux.cn,基础信息。但是密码不是在第一次登录进去之后就强制让用户修改的,只是提醒而已。

  2,cookie是httponly的

  3,用超级管理员admin修改时,原密码可以不用输入,那么如果我们有后台xss的话就可以修改密码了。

  4,其他的一些建站,ftp等没有看。

0x02 攻击思路

根据现有的东西进行扩展联想:

1,首先是是否存在有绕过后台验证的方法?

思路是:sqlite3会记录登录日志,登录日志会在web页面中展示,然后admin修改密码是不用输入原密码的。

我们是否可以在登录的时候放一个xss?

web页面展示的字段有:登录的用户名,登录密码前两位,登录的ip。

  1,用户名和密码的xss payload测试,发现<>\'等都无法在用户名字段中插入,程序有过滤。

  2,密码字段虽然可以插入脏字符存储在数据库中,但只有两位可控,且后台展示页面已经做了过滤。

  3,登录ip尝试用X-Forwarded-For ,Client-IP等请求头来绕过皆无果。

由于不知道后端是怎么请求的,尝试用fuzz一下用户名的可容纳长度,尝试截断或者溢出,但测了将近10w多个字符依旧没有问题,暂时放弃了。

2,前台可访问的东西

转眼去看其他的东西,发现在wdcp v3的时候新增了一个phpmyadmin在80端口中

但是有8位字符是随机的。

基于此有这么一个攻击思路:pma目录名8位字符,如果能够爆破(存在问题),基于人性弱点考虑,或许很多用户只是把后台管理的用户名和密码改了,

而mysql的默认密码没改,或者说因为mysql在内部,使用弱密码的可能性也是很大的,那么我们利用phpmyadmin来getshell也是完全有可能的。

首先寻找phpmyadmin目录名的生成方法,在源码压缩包里面,搜索pma,找到了生成方式:

其中$RANDOM 变量为0--32767 ,随机之后进行md5sum,之后截取前8位;

注意这里的命令:

echo $RANDOM | md5sum

是会在随机之后加入一个换行符的,所以实际上生成的应该是这样:

随机生成的数字为:1234,那么在后面加一个换行符"\n",之后再进行md5。

在用php生成字典的时候踩出来的坑。

所以其实爆破最多也就32768个而已,用不了多久。放一个爆破成功的截图:

0x03 小结

就暂时研究到这里,之后会进行深入研究,比如后台其他的一些功能,以绕过后台验证为优先,也会尝试对wdcp的执行文件反编译,看能不能提取出源码。(binwalk了一下,没有深入)

[软件研究]对wdcp v3的一次小研究#1的更多相关文章

  1. WDCP V3.2面板安装且新增PHP多版本和免费Let's Encrypt SSL证书

    文章原文:http://www.itbulu.com/wdcp-v32.html 我们很多网友对于WDCP面板应该算是比较熟悉的,老蒋在博客中也多次分享WDCP面板的相关教程内容,因为在平时帮助网友解 ...

  2. wdcp v3 pureftpd 无法登录问题解决

    wdcp v3 新建站点和ftp账号 单位无法登录ftp 在端口中也确实可以看到有进行在登录状态 错误原因: 防火墙端口没有开启该端口范围  20000-30000 这时候发现 改端口为20078  ...

  3. wdCP V3.2

    wdCP是什么?关于wdCP更多的介绍,可看http://www.wdlinux.cn/wdcp/安装前先去体验下,看演示站吧http://www.wdlinux.cn/bbs/thread-5285 ...

  4. WDCP v3 安装

    ---已更新至3.0.3---经过近期的努力,wdCP_v3正式版终于可以和大家见面了v3功能预览1 底层完全重新架构,更安全稳定,省资源更高效2 安装更简单,快速与方便3 功能更强大和易扩展,且完美 ...

  5. 开源敏捷测试管理& 开源BUG跟踪管理软件itest(爱测试) V3.3.0隆重发布

    v3.3.0 下载地址 :itest下载 码云源码地址 https://gitee.com/itestwork/itest 开源中国  itest项目地址   https://www.oschina. ...

  6. wdCP v3.3.8apache阿里云ssl证书实现智慧软文http转换https的详细操作教程

    先展示一下效果:智慧软文发布系统(https://www.zhihuiruanwen.com) 之前用的是传统的http,发现360浏览器,火狐浏览器,谷歌浏览器均提示不安全的链接,最主要的是第一次打 ...

  7. 开源敏捷测试管理& 开源BUG跟踪管理软件itest(爱测试) V3.3.1小改紧急发布及正实现功能预告

    v3.3.1 下载地址 :itest下载 码云源码地址 https://gitee.com/itestwork/itest 开源中国  itest项目地址   https://www.oschina. ...

  8. wdcp v3 Forbidden :You don't have permission to access /phpmyadmin on this server

    First edit the file /www/wdlinux/apache/conf/vhost/00000.default.conf and add the additional line to ...

  9. 关于C#中readonly的一点小研究

    可能园子里有不少文章已经说明了这个问题了,但是我在这里写这篇博客只是写写自己的一些体会,也权当是整理归纳,高手莫见笑. ===============正文分割线================== 现 ...

随机推荐

  1. retrofit 使用解析

    retrofit 基础入门:https://www.jianshu.com/p/b64a2de066c3 retrofit 使用详解:https://blog.csdn.net/carson_ho/a ...

  2. springboot系列四、配置模板引擎、配置热部署

    一.配置模板引擎 在之前所见到的信息显示发现都是以 Rest 风格进行显示,但是很明显在实际的开发之中,所有数据的显示最终都应该交由页面完成,但是这个页面并不是*.jsp 页面,而是普通的*.html ...

  3. ORA-01017: invalid username/password; logon denied 解决方案

    在SQLPLUS窗口下进行用户登录,出现ORA-01017:invalid username/password:logon denied .如下图: 在网上找了很久,发现一个实用的解决方案,操作如下: ...

  4. gitlab代码仓库迁移

    有的时候我们需要对gitlab上的代码进行迁移,希望在迁移后能保持原有的branch.tag.commit记录等.可以使用以下方式: 1.clone代码到本地. 2.修改remote仓库的地址,添加新 ...

  5. spring事物的传播行为及隔离

    关于@Transactional注解: 添加事务注解1.使用 propagation 指定事务的传播行为, 即当前的事务方法被另外一个事务方法调用时如何使用事务, 默认取值为 REQUIRED, 即使 ...

  6. 对比synchronized与java.util.concurrent.locks.Lock 的异同

    主要区别 1.Lock能完成几乎所有synchronized的功能,并有一些后者不具备的功能,如公平锁.等待可中断.锁绑定多个条件等: 2.synchronized 是Java 语言层面的,是内置的关 ...

  7. 【转载】linux下升级npm以及node

    原文:http://blog.csdn.net/qq_16339527/article/details/73008708 npm升级 废话不多说,直接讲步骤.先从容易的开始,升级npm. npm这款包 ...

  8. 前端开发必须知道的JS(一) 原型和继承

    原型和闭包是Js语言的难点,此文主要讲原型及原型实现的继承,在(二)中会讲下闭包,希望对大家有所帮助.若有疑问或不正之处,欢迎提出指正和讨论. 一. 原型与构造函数 Js所有的函数都有一个protot ...

  9. 教你构建好 SpringBoot + SSM 框架

    来源:Howie_Y https://juejin.im/post/5b53f677f265da0f8f203914 目前最主流的 java web 框架应该是 SSM,而 SSM 框架由于更轻便与灵 ...

  10. LeetCode(57):插入区间

    Hard! 题目描述: 给出一个无重叠的 ,按照区间起始端点排序的区间列表. 在列表中插入一个新的区间,你需要确保列表中的区间仍然有序且不重叠(如果有必要的话,可以合并区间). 示例 1: 输入: i ...