小学生搞了自己学校的网站！ _漏洞

整理：编程技术宇宙
今天这篇文章来源于知乎上一个叫的分享，作者自称是一名六年级的小学生。文章主要记录的是他针对自己学校网站的一次渗透测试，过程非常有趣，所以分享给各位读者朋友。
上周三，闲着无聊，准备上学校网站看看，想我这种Pwn狗，自然是对Web没啥希望了。。但是，我还是觉得上学校网站看看说不定呢~ 所以我上了学校网站开始了渗透......
Stage 1:信息收集
无聊的我登录上了学校主站说实在找不到啥突破点连个能交互的地方都没有...
主站这条路死了
所以我准备从其他角度来思考这个问题。于是，我打开了fofa看看有没有啥子域名之类的。结果，找到了学校培训部门的一个网站。
根据我对学校的理解，我们学校是肯定不可能自己做模板的应该是运用了其他的cms来建站的，而所谓cms也就是其他的一些网站模板，具体可以是博客、商业化站之类的。打开了代理，dns开了，就用御剑扫描工具扫了一些。hhh 还真的扫描出来了！
?! 织梦csm,非常古老的的cms了。我记得可能在我出生之前可能就存在了。那么，问题就出现了。越古老的模板一般都会拥有一些通用性的漏洞。而通用性的漏洞可能会导致网站机密性、完整性的威胁。其中，我们把这些通用性漏洞这样分开：
版本号确定？
一开始，我就被网站的留言板块吸引了。一般来说都会存在XSS漏洞。XSS攻击是指恶意攻击者往Web页面里插入恶意代码，当用户浏览该页之时，嵌入其中Web里面的代码会被执行，从而达到恶意攻击用户的目的也就是说XSS漏洞就像是一个捕兽夹，当具有管理员权限的站长访问被植入XSS脚本的网页时，可能会被盗取权限。
准备了攻击载荷，虽然可能性小但是还是准备试一试。但是在留言之后有一段动画。我看了看，好像爆了CMS版本！我打开手机慢动作，拍了下来上面写着：
【小学生搞了自己学校的网站！】确认了版本号，找针对这个版本的通用性漏洞就不难了。所以，我打开了珍藏已久的扫描器~看看有没有nday漏洞。
Stage 2:漏洞利用
经过漫长的等待好像似乎扫描到了一个nday 于是我打开了nday扫描中的url 似乎好像有信息泄露漏洞！
INSERT INTO `dede_member` VALUES('1','xxxx','admin','2604ccf7b8a4a852cxxxxxxxx','admin','xxx','100','0','0','0','xxxxxxx@qq.com','10000','10','0','','0','','xxxxxx','','xxxxxxx79','xxxxxxx','-1');
这好像是sql数据库的备份里面记录了 admin 账号的登录md5加密后密码其实一般网站的登录密码校正就是和数据库中使用同一加密算法加密过的密文来做比对所以说我们只需要逆向破解这串md5密文我们就可以获得admin账号密码
通过md5解密之后，我们成功的获得了账户的密码。其中为了机密性考虑，我没有办法把密文给你们看。但是，我们已经获得了账户的密码。现在，我们可以登录刚刚我们御剑扫描到的子站后台了。
不出意料的我们登录了后台。但是，我们的渗透还没有结束。现在，我们需要获得整个网站的shell权限，也就是服务器的权限。
Stage 3:后渗透
在前面我们提及到nday这个概念，而像这个版本的织梦cms，nday可能是无法避免的。而还是不出意料的我们搜索到了后台的nday 。远程命令执行 (rce漏洞) 攻击者可以通过精心构造的语句来远程控制网络服务器，可以执行任何命令。