实战 | 记一次对微信引流网站的简单渗透测试
2023-6-8 00:0:36
Author: 橘猫学安全(查看原文)
阅读量:34
收藏
没啥技术可言,纯粹发上来记录一下,不然就真的尘封了。一个好友群里面发了个图片,说是微信18年年度数据报告 大家玩的挺欢,我玩了一下,职业病让我多看了一眼这个网站。简单抓了一下包,看了一下请求的整个过程,好几个域名跳来跳去的这熟悉的phpsessid(后端用的php),熟悉的url模式,结合最近的tp漏洞,试一波tp任意代码执行。发现报错了,tp 5.0.20,看一下ip发现是阿里云的。换tp5.0的payload继续搞,发现禁用了一些函数,没办法执行命令,而且还禁掉了think关键字,有一些payload用不了了,换了某360大佬之前给的不含关键字exp,继续干。(这里先膜一下大佬)但发现assert执行也出错了,为了省事,不去纠结是什么原因了。(主要是菜)用file_get_contents读了一下index.php,发现是thinkcmf。原来是thinkcmf,我就说这个simpleboot的命名这么眼熟。既然是thinkcmf,/admin的后台应该跑不了吧 ?记得之前在t00ls看过thinkcmf的一些问题,我自己没审,比如thinkcmf的日志问题(其实就是tp的日志,存放目录自定义了一下而已。)日志文件命名格式形如: /data/runtime/log/年月/日.log那么就很简单了,用file_get_contents 读了一下近几天的日志,找到了后台的管理账号密码看一下微信用户,没有什么敏感信息,但吸引了一大波流量,截止现在已经有4w多人玩了。网站管理员为了能让它存活更长时间,落地页面的域名就用了12个主要是想看看这些网站背后都干了些什么,从后台来看应该也就是获取流量了。技术源于生活,昨晚看wooyun的月爆对此感触颇深,怀念。作者: 水泡泡kking;链接: https://www.cnblogs.com/r00tuser/p/11152762.html来源:水泡泡kking‘s blog;转自:hack学习君。
如有侵权,请联系删除
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看”
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247508119&idx=2&sn=da60ca644b9179a3019daf73741f9bd4&chksm=c04d27a9f73aaebfd212f9ff6bccfe71b7fc46e0f545997c4effc47a8725d79213303cf56e46#rd
如有侵权请联系:admin#unsafe.sh