起因

十月一回家和表弟还有他女票在一起玩的时候(当然，还有我女票也一起，别问我女票哪来的)，四个人刚好可以凑一桌麻将，表弟的女朋友说叫我们一起打黑桃4，黑桃4是我们家乡的一种打法。。。。
然后发了我一个app，我安装以后打开一看。

卧槽，XXXX四个大字出现在我眼前
不过此时心思并不在游戏上，这个叫XXXX的肯定有个官网吧。(事情到此结束，十月一回家电脑没带回去…..)
祖国的生日结束以后…..又回到了学校，打开百度搜了下这个xxxx，找到了他官网: http://xxxx.com/。

踩点

简单的搜集了下信息如下:
IP: XXX.XXX.XX.XX
旁站:无
cdn:无
脚本:php
中间件:nginx
框架:ThinkPHP
cms:vlcms

可以判断出服务器架构是:php+mysql+nginx+linux

进后台

说到这个后台嘛…….很蛋疼，想说点啥，太丢人了，还是不说了吧！！！（知道了cms，先百度网上公开的漏洞，这里毛都没有……）
在url后面加上admin.php，会跳转到登录界面

测试了下弱口令(人品爆发)
admin admin 失败
admin 123456 成功

Getshell

老规矩，知道cms先百度，一样，毛都没……
只能硬着头皮在后台翻了…..
这里admin用户权限已经是属于超级管理员了，权限是最高的了。
还有个数据库备份和用户配置

不过数据库是mysql的…..没屌用啊，此处感慨为啥不学学南方。
剩下的就是上传点了
上传点有点多，随便找了个上传点


先上传张正常的图片看下上传功能是否有用

看来是能正常上传的，然后直接上传php脚本，弹了个框框（以为是js验证，禁用js后还是没用）

然后各种上传绕过都试了，也是没用。

高潮

看来上传这条路是死了，翻了翻超级管理员的访问授权，看下还有哪些功能

扩展管理？后台并没有找到这个地方，莫非是阉割版？？？（后来土豆找到了这个地方）

修改url为http://xxxx.com/admin.php?s=/Addons/index，然后访问

和土豆研究了下这个插件，先点击快速创建

点击预览按钮可以看到代码。。。。。

竟然能看到代码？这不是脱裤子找日吗？
思路：打算在这里写入一句话。

顺手写了个一句话，然后点击预览发现被注释了。

看来是有用的，那就好办了，闭合下注释和php末端。
最后的代码是**/?> <?php /*

Ok，这样我们的一句话就写进去了。然后点击确定

卧槽，好激动。。。

可是tm的地址呢？？？不过可以肯定的是，马是写进去了。
然后我又创建了一个插件，这次不打算完整闭合代码。

这样肯定是出错的，然后我们点击确定

没错，正如你所见，报错了。刚才创建的名叫test1。
然后构造下我们之前创建名为Example的路径
地址为: http://xxxx.com/Addons/Example/ExampleAddon.class.php
然后请出菜刀，连接看看

连接成功，成功获取shell。
由于服务器Linux服务器我就不去提权了。

结尾

这种棋牌网站，竟然来了，怎么能不留点东西呢
丢个txt文件走人