代码执行靶场

首先目录扫描找到后台的登录页面

使用弱口令登入后台

发现了可以文件上传的地方

由如下的抓包和返回结果我们可以推断出
在文章描述那我们写入的一句话木马中的<?被过滤了
且文件上次不能上传php后缀的文件名

这里把文件后缀改为jpg没有报错

这里我成功上传了一个一句话木马图片

但是我们这里无法利用
所以说得从代码层面入手了
首先这里安装一下模板

我们发现这里是有文件上次的功能的
所以这里说不定是漏洞的利用点

所以我们传先传个东西看看
然后我们可以发现这里多了个删除LOGO按钮

然后我们点击删除

似乎这个删除键搭配/触发着unlick删除函数
所以我们去配置文件搜一下这个关键词

果真有
而且这里还有个数据库的查询语句
$mobile_logo = $dou->get_one(“SELECT value FROM “ . $dou->table(‘config’) . “ WHERE name = ‘mobile_logo’”);
说明这里存在mobile_logo数据库
然后我们在询语句下加上一个命令执行语句试试看这里是否存在代码执行漏洞
die(phpinfo());

这里成功执行phpinfo()；说明这里存在代码执行漏洞

此外我们还可以得到删除文件的路径

点击删除返回如下

通过mobile_log变量搜索我们发现其他这个变量就是logo.jpg
这里就验实了我们的想法

然后我们抓一个文件上传的数据包

这里给了两个关键词 system可以理解为系统的意思 我们可以先去搜搜update看看

ok 很合理啊
这条语句很关键

$dou->query(“UPDATE “ . $dou->table(‘config’) . “ SET value = ‘$value’ WHERE name = ‘$name’”);
updata更新数据的意思 后面一窜的意思就是把config文件里面的数据更新
并设置了一个可控的变量value且把name=变量name
所以当变量name等于mobile_log等于name我们再通过变量value去改变他