安全矩阵

 找回密码
 立即注册
搜索
查看: 8364|回复: 0

从代码审计到拿下某菠菜客服站

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-1-11 19:53:34 | 显示全部楼层 |阅读模式
原文链接:从代码审计到拿下某菠菜客服站


起因:

给的目标只有一个后台系统登陆页面。上去就是一个弱口令怼他,但这种菠菜站基本不可能。


这时候就要体现信息搜集的重要性了,毕竟渗透最重要的就是信息搜集,废话也不多说,这个过程有点漫长,直接上主菜吧

正文

利用fofa、shdan、微步、超级ping进行域名查ip,以及ip反查域名。得到其中一个客服站

该站有存储型xss,打进去后返回的全是安卓手机,遂放弃。直接套客服话,有点久远这里就没得图了,通过客服给出的信息,直接批量扫c端同宝塔端口。再ip反查域名得到另一客服站

通过目录扫描,发现有install.php文件。

好家伙,直接告诉了我是什么客服系统,google一搜,开源的,直接下下来审计一波。

放入seay自动审计一波,打开一看,经验多的一看就知道是thinkphp框架。根据安装教程,得知此系统需要绑定到public目录,根据thinkphp的路由规则,web能访问到的目录只有application了。

审计过程有点漫长,此处省略。直接上找到的漏洞函数。通过全局搜索upload,发现该函数存在一个黑名单过滤。该函数以文件名中的点来分割名字并存入数组中,且以数组的第二个为后缀。即当文件名为index.php时,$ext=php,但php在黑名单中;此时我们传入一个index.w.php文件,$ext=w,以此来绕过黑名单

根据thinkphp的路由规则,该函数位于application/admin/controller/Event.php文件中,对应的web路径为/admin/event/uploadimg

我们可以构造一个本地的文件上传,并用burp抓包post到该路径

  1. <form action="http://domain.doamin/admin/event/uploadimg" method="post" enctype="multipart/form-data">


  2.     <label for="file">Filename:</label>
  3.     <input type="file" name="editormd-image-file" id="editormd-image-file">
  4.     <br>
  5.     <input type="submit" name="submit" value="submit">
  6. </form>
复制代码



可以看到成功上传过去,此时用蚁剑连接,成功getshell。

进去一看,好家伙,一堆站点。

去执行命令是发现输入什么都返回ret=127,后面想起来宝塔的站基本都禁用了很多函数

这里我们直接可以用蚁剑的disable_functions插件绕过执行命令限制



后续
因为该机子为vps,内网不打,直接上了beef去探测管理员的真实ip,为之后的钓鱼做准备。















回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 18:36 , Processed in 0.018449 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表