记一次菠菜网站渗透半成品 - 渗透测试中心
2024-1-17 19:38:0 Author: www.cnblogs.com(查看原文) 阅读量:24 收藏

前言

在一个风和日丽的下午,我们正在Blank的带领下,兴致勃勃地讨论着,女人。

图片

而float先生发现了一个访问了他博客的奇怪IP。

图片

哎,根本不把什么网络安全法放在眼里,直接就开打。

Game Start

浏览器访问会直接跳登陆界面。

图片

信息收集

路径上敲个X。拿到ThinkPHP和版本号。

图片

图片

同时,float先生nmap扫到801端口,并确定是宝塔建站。不过这里没有进一步研究。

图片

图片

RCE尝试

5.0.21能直接RCE,且payload满天飞。不过依然遇到了一点小坑。

图片

模块名不是通常的index,而且必须存在。根据跳转登录的uri:

/admin/login/index.html

猜测module为admin,果然成功。

图片

disable_functions赫然在列,则rce果然不成功。

图片

种马

好消息是写文件成功了。

图片

访问shell.php,看到phpinfo界面。

图片

反手就写冰蝎马连它。

图片

趁机瞅了瞅,贷款、经理、业务员、bc...好,继续打。

图片

连接数据库

硬编码还真是宇宙难题,数据库密码到手。

图片

第一次遇到MySQL的密码里有@,直接写会破坏连接串。如:

mysql://root:[email protected]:3306/mysql

password中的@会提前走到ip:端口的判断。需要把它编码为%40

图片

管理员登录

翻web目录和代码实在没有进展了,尝试登录一下系统。

数据库里有账号口令,当然口令是加盐的哈希。

图片

图片

谁家好人头铁非要暴密码出来,直接patch下login代码,不查表就完事了。

登录系统。

图片

这业务看着真高级,看不懂一点,留下后门用户以防不测


文章来源: https://www.cnblogs.com/backlion/p/17970881
如有侵权请联系:admin#unsafe.sh