擂台赛A组WP

jsjcw   ·   发表于 2021-02-08 17:33:15   ·   技术文章

SQL注入

cron.php处存在一处很明显的SQL注入,data['type'] 完全可控,而且数据自带加密,不需要考虑宝塔WAF的问题

SQL注入+反序列化

由于该点为盲注,跑数据太麻烦,直接跟下面的逻辑,尝试利用union select注入脏数据,发现在执行 exec_shedule_plan 函数时会对数据进行反序列化操作

而且存在 es_session 类,在析构函数中会写入指定的session值

结合后台的登录认证,只需要 adm_id 不等于 0 即可

通过构造特定的数据,直接向 cron.php 发送一个数据包,即可将当前的session设置为登陆后的管理员

条件竞争 getshell

通过分析后台的功能,发现存在一个接口可以上传zip包,并对其进行解压

但解压完后会移动文件并且删除原文件

这里可以构造一个时间差,利用解压还没删除时进行不断的请求,直接获取写入一个新的webshell


webshell只需要双向的base64编码即可绕过宝塔的检测

FastCGI bypass disable_function

拿到webshell后发现disable了一堆的函数,无法直接执行命令,通过分析环境发现使用的FastCGI形式的调用

上传一个直接调用unix sock的脚本

通过FastCGI的PHP_ADMIN_VALUE参数,修改extension,加载msf生成的后门so文件


请求后直接拿到msf的session


后续提权翻了一圈也没发现有好的东西,最近的sudo漏洞可能可以拿来利用

用户名金币积分时间理由
l836918621 10.00 0 2021-02-08 17:05:19 一个受益终生的帖子~~
l836918621 10.00 0 2021-02-08 17:05:14 一个受益终生的帖子~~
l836918621 10.00 0 2021-02-08 17:05:13 一个受益终生的帖子~~
veek 300.00 0 2021-02-08 17:05:20 getshell新思路
veek 100.00 0 2021-02-08 17:05:21 初投稿奖励

打赏我,让我更有动力~

2 条回复   |  直到 2021-2-11 | 2457 次浏览

l836918621
发表于 2021-2-8

大佬tql

评论列表

  • 加载数据中...

编写评论内容

xiongmao
发表于 2021-2-8

大佬tql

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.