记一次对某非法微盘的渗透
2023-4-25 00:3:12 Author: 橘猫学安全(查看原文) 阅读量:95 收藏

01 目标

目标站:www.xxx.com

02 TP测试

这种微盘我见得多了,一眼就是tp5的,直接看看tp5关键处。

http://www.xxx.com/?s=captcha

post: _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo

看样子是修复了,不过debug没有关,收集一下信息看一下目录结构。

Tp版本5.0.5 根目录/www/wwwroot/xxx.com/

03 意外出现

既然rce修复了那就去runtime里面看一下日志,说不定有意外发现。

访问www.xxx.com/runtime/log/202004/23.log运气不错记录的是详细日志

不同日期一个翻 在所有日志里查找 admin 眼睛都快找瞎了都没找到后台地址 根据我的判断应该是改了后台路径了


就在这时我突然想到 这个微盘会把后台登录信息写在 cookie 里 正好日志也会记录 cookie 而 cookie 名我记得是 denglu,所以我又翻了一遍搜索 denglu 果然找到了后台地址

然后使用此 cookie 竟然还能访问后台

04 继续测试

但我发现这只是一个普通的代理账号,由于非常熟悉这套系统,于是我将原 cookie think:

{"otype":"101","userid":"612","username":"612","token":"3c341b110c44ad9e7da4160e4f 865b63"}

修改为 think:

{"otype":"3","userid":"1","username":"612","token":"3c341b110c44ad9e7da4160e4f865b 63"}

然后刷新页面,我就变成了管理员~ 可以看到此微盘日流水有 11 万

05 Getshell

只拿下后台当然不够,我在后台找了一圈发现跟我之前渗透的微盘少了些功能,于是我本地 搭建以前某位老哥给我的类似源码,决定从参数设置处下手。跟我本地搭建的一对比发现少 了几个功能。

目标:

本地:

然而只是删除了菜单,并没有删除实际功能。先本地测试访问/setup/addsetup.html 添加一个配置

然后编辑 test 的值为

"phpinfo();//

然后访问前台等待缓存更新 访问缓存位置/runtime/cache/3a/8e4c06e471595f6eb262bb9b5582d9.php

本地复现成功以同样的方法对目标站 getshell。

由于是 www 而且内核版本太高 linux 提权不怎么在行 也没有手持 0day 所以到此结束。

文章来源:网络安全情报攻防站

原文地址:https://t.zsxq.com/04NZbUZvR

如需转载本样式风格、字体版权请保留出处:李白你好

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247507803&idx=1&sn=e99067c917044bba9e7236109d1c2d7c&chksm=c04d5865f73ad173a632f1d7ee77bb5ceefb8788861bf650805ffe1d96acf323b0c48424f04c#rd
如有侵权请联系:admin#unsafe.sh