陪妹子玩游戏引起的风波
起因
十月一回家和表弟还有他女票在一起玩的时候(当然,还有我女票也一起,别问我女票哪来的),四个人刚好可以凑一桌麻将,表弟的女朋友说叫我们一起打黑桃4,黑桃4是我们家乡的一种打法。。。。
然后发了我一个app,我安装以后打开一看。
卧槽,XXXX四个大字出现在我眼前
不过此时心思并不在游戏上,这个叫XXXX的肯定有个官网吧。(事情到此结束,十月一回家电脑没带回去…..)
祖国的生日结束以后…..又回到了学校,打开百度搜了下这个xxxx,找到了他官网: http://xxxx.com/。
踩点
简单的搜集了下信息如下:
IP: XXX.XXX.XX.XX
旁站:无
cdn:无
脚本:php
中间件:nginx
框架:ThinkPHP
cms:vlcms
可以判断出服务器架构是:php+mysql+nginx+linux
进后台
说到这个后台嘛…….很蛋疼,想说点啥,太丢人了,还是不说了吧!!!(知道了cms,先百度网上公开的漏洞,这里毛都没有……)
在url后面加上admin.php,会跳转到登录界面
测试了下弱口令(人品爆发)
admin admin 失败
admin 123456 成功
Getshell
老规矩,知道cms先百度,一样,毛都没……
只能硬着头皮在后台翻了…..
这里admin用户权限已经是属于超级管理员了,权限是最高的了。
还有个数据库备份和用户配置
不过数据库是mysql的…..没屌用啊,此处感慨为啥不学学南方。
剩下的就是上传点了
上传点有点多,随便找了个上传点
先上传张正常的图片看下上传功能是否有用
看来是能正常上传的,然后直接上传php脚本,弹了个框框(以为是js验证,禁用js后还是没用)
然后各种上传绕过都试了,也是没用。
高潮
看来上传这条路是死了,翻了翻超级管理员的访问授权,看下还有哪些功能
扩展管理?后台并没有找到这个地方,莫非是阉割版???(后来土豆找到了这个地方)
修改url为http://xxxx.com/admin.php?s=/Addons/index,然后访问
和土豆研究了下这个插件,先点击快速创建
点击预览按钮可以看到代码。。。。。
竟然能看到代码?这不是脱裤子找日吗?
思路:打算在这里写入一句话。
顺手写了个一句话,然后点击预览发现被注释了。
看来是有用的,那就好办了,闭合下注释和php末端。
最后的代码是**/?> <?php /*
Ok,这样我们的一句话就写进去了。然后点击确定
卧槽,好激动。。。
可是tm的地址呢???不过可以肯定的是,马是写进去了。
然后我又创建了一个插件,这次不打算完整闭合代码。
这样肯定是出错的,然后我们点击确定
没错,正如你所见,报错了。刚才创建的名叫test1。
然后构造下我们之前创建名为Example的路径
地址为: http://xxxx.com/Addons/Example/ExampleAddon.class.php
然后请出菜刀,连接看看
连接成功,成功获取shell。
由于服务器Linux服务器我就不去提权了。
结尾
这种棋牌网站,竟然来了,怎么能不留点东西呢
丢个txt文件走人
本文作者: iceH
本文链接: http://www.secice.cn/p/6c69f06
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!