用户
搜索
  • TA的每日心情
    慵懒
    昨天 16:51
  • 签到天数: 9 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    2

    主题

    8

    帖子

    163

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2019-1-8

    i春秋签约作者

    发表于 2019-1-9 21:26:02 117068

    0x01 前言

    这个后台是一个表哥给我的,然后作为菜鸡的我去试着弄了一下,搞下了,就分享一下思路,文章很菜,希望各位大表哥手下留情,别喷~(菜鸡第一次在春秋写文章....)

    0x02 测试开始

    首先,后台界面是这样子滴(已处理,若文章漏码请告知~)
    2019-01-07.15.46.56-image.png

    我先去云悉对这个站做了一些简单识别,得到结果如下图
    2019-01-09.20.50.04-image.png
    大致猜测是由Linux + Apache + Mysql + Php搭配的。但是Apache没给我显示他的版本,不知道是否存在解析漏洞。于是回到了后台,去研究他的上传文件的功能。

    他的这个系统很多地方存在上传点,下图就是一个上传点
    2019-01-09.20.55.10-image.png
    他这里可以支持压缩包的格式并且自解压,于是我就想到将木马放到压缩包内然后上传这个压缩包,使其自解压,将木马成功上传到服务器。然后操作结束后,的确是上传成功了。然而人生就是那么大起大落,并没有成功的拿下shell,为毛呢,请看下面

    首先正常上传
    2019-01-09.20.59.25-image.png
    然后查看上传后的文件
    2019-01-09.21.00.24-image.png
    给我加了个txt.... 心想加了个txt就算了,我打开试试看能不能正常访问
    2019-01-09.21.01.49-image.png
    丫的还是个403拒绝访问。于是我又测试了几个后缀的文件名,发现pdfjpg
    等文档和图片类型是可以正常上传并且进行访问(pdf访问会自动下载)
    2019-01-09.21.05.15-image.png
    不要在意打码的内容,他的确是可以访问并且显示了代码。。只要脚本文件他就会自动在后面加上txt,于是放弃上传压缩包的方法,直接硬干上传点,试试看能不能运气爆棚碰巧就是一个解析漏洞.... 然后fuzz了许久,还是不行(就不写上传的过程了,没成功写了浪费时间~~)

    看样子他的上传是做了处理了,只能换思路了,然后这个时候逗神告诉了一个点,让我拿下了这个shell
    2019-01-07.15.50.51-image.png

    他这里支持自定义html,用来做搜索引擎优化,于是可以试着写入php代码来获取shell,补充一下php的几种定义写法:

    1.<? echo 1; ?>
    2.<?php echo 2; ?>
    3.
    <script language="php"> 
    echo 3;
    </script>

    第三种写法的标签是不是很熟悉。他不就是html中定义js代码的标签嘛~,那么可以试着用这段代码去试试,看能否被正常写入进去。

    然后我就在自定义代码去写上了下面的代码,保存进去

    <script language="php">
    phpinfo();
    </script>

    然后打开网站的首页
    2019-01-07.15.56.38-image.png
    发现还是原网页,没有丁点的改变...... 。这个时候查看一下源代码
    2019-01-07.15.58.19-image.png
    的的确确的代码是被写进去了,那么刷新一下试试
    2019-01-07.15.59.22-image.png
    ok,是正常的,然后执行phpinfo的代码也已经不见了,已经当作php执行了
    2019-01-07.16.01.22-image.png

    那么这个时候,构造一下一句话木马,然后进行连接操作。
    2019-01-07.16.03.53-image.png
    结果是连接不上去,换了其他的刀也是不行的,那么这条路就断了嘛?shell就搞不定了嘛~

    0x03 文件包含getshell

    在前面有说到,他这个站有许多上传点,我随便找了一个上传点,上传了一个图片格式的大马,大马的代码如下:

    <?php
    $test='大马代码';
    //访问这个文件大马的代码将被写入网站的根目录2.php下 (路径phpinfo得到)
    file_put_contents("/home/www/webdata/epage/2.php", $test);

    然后通过一样的步骤用下面的代码

    <script language="php">
    include '../ezfiles/2/1002/img/92/123.jpg';//上传的图片地址
    </script>

    然后点击修改进行保存,在回到网页去刷新,然后在域名后面加上2.php去测试是否成功生成了这个文件
    2019-01-07.16.26.19-image.png

    成功getshell~ 由于是linux,老夫实在没半点兴趣提权啥的..... 就把shell给那位表哥后 继续的去看妹子图了

    0x04 结束语

    这次拿shell也不是很难,都是常见的操作,low的一批~ ,渗透就是要把知识点进行串联起来,然后灵活的进行运用。各位大佬要是有啥高见欢迎私信交流,最后这句是重点,希望大佬们不要吐槽我这个菜鸡的文章~~  有啥意见私下地可以交流,毕竟这文章纯属虚构,如有雷同纯属巧合

    评分

    参与人数 1魔法币 +1 收起 理由
    applepu + 1

    查看全部评分

    渗透就是要把知识点进行串联起来,然后灵活的进行运用
    一位热衷于分享,积极向上的小白
    使用道具 举报 回复
    利用文件包含实现getshell,学习了一波
    使用道具 举报 回复
    发表于 2019-1-10 14:57:54
    不错的姿势
    使用道具 举报 回复
    发表于 2019-1-10 17:12:07

    渗透就是要把知识点进行串联起来,然后灵活的进行运用
    使用道具 举报 回复
    思路学习了   这里有个问题就是你既然可以写入phpinfo  那为什么还需要去文件包含 直接用第三种方式写入一句话 或者大马不行马 求解
    使用道具 举报 回复
    发表于 2019-1-10 17:57:00
    chibangde666 发表于 2019-1-10 17:37
    思路学习了   这里有个问题就是你既然可以写入phpinfo  那为什么还需要去文件包含 直接用第三种方式写入一 ...

    可能忘记说明了 直接写进去 他利用不了 大马就是一个空壳 没用
    使用道具 举报 回复
    发表于 2019-1-10 20:15:03
    不错不错,小老弟以后遇到这种一般般case找我就行了,分分钟教会我
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫流光 这个网络他曾来过。
    使用道具 举报 回复
    有个疑问,文件包含的是jpg,怎么去解析成那个大马php?
    使用道具 举报 回复
    上海白帽小yy 发表于 2019-1-14 14:44
    有个疑问,文件包含的是jpg,怎么去解析成那个大马php?

    可能我没说清楚 因为那个是被当做php解析了的 不然php的代码也不会执行   所以文件包含是可以的 详细可以了解一下文件包含
    使用道具 举报 回复
    为毛菜刀马连不上,大马就好使呢?
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册