0x00 前言

本次测试是授权测试,涉及不到什么知识点,表哥轻点喷!!(手动狗头)

大概流程:

  1. 后台登录可爆破密码,得到一个普通权限的账户密码
  2. phpinfo页面 发现存在cgi解析漏洞
  3. 通过2种日志文件下载造成信息泄露,github找到源码
  4. 查看源码,得到更多的访问路径
  5. 使用普通账户未授权访问来添加管理员账户
  6. 登录管理员账户,logo上传图片马配合解析漏洞拿到shell。

0x01 爆破后台目录扫描

首先随意输入一个用户名admin, 提示用户名不存在,这儿就可以先爆破用户名

1.png

burp的图我就不上了,最后经过爆破得到了一个 普通用户权限的账户密码: :* (打码)

成功登录上

0x02 尝试文件上传

没啥其他的敏感文件泄露,就一个phpinfo,当我们看到cgi.fix_pathinfo参数为1,好咧 有解析漏洞了,所以我们现在只需要找到一个能够上传图片马的地方,就可以getshell了。

2.png

在后台找到一个地方可以上传文件,尝试上传普通的文件,可以疑似可以传上去,但是没回显的路径,尝试爆破路径和查看网站存在的图片右键打开链接来查看图片路径也没找到我们的图片不得不放弃。

3.png

在后台的功能点找了很久,最后点到一个功能板块,爆出SQL错误,柳暗花明又一村???咪?结果百度了一下,是在逗我玩。这不是报错语句

4.png

第二处文件上传:

在商城管理->添加商品的地方,可以上传产品图片,通过bp抓包,得到的回显信息 提示upload路径不存在 。。 我上传个锤子,图找不到了。

0x03 日志泄露找到源码

3.1 home日志

在坚持了一天找后台文件上传和找SQL注入后放弃了,结果有表哥提醒说tp框架你试试日志泄露,好吧,那就一个个去看,日志的路径组成是这样的
<domain>/<应用名称>/Runtime/Logs/<模块名>/<日期>.log 如果我们想要查看2020年7.1号的日志就是这样的:
http://ip/Application/Runtime/Logs/Home/20_07_01.log

5.png

看了也就大概5个月的日志,一个敏感信息也没看到

3.2 admin日志

经过尝试这个站还有一个admin目录下的日志泄露,http://ip/Application/Runtime/Logs/admin/20_07_01.log
这个时候就可以看到一些敏感路径了

6.png

7.png

mysql查询语句看得到,这又得到了一个后台账户密码,不过这个密码md5没解出来

8.png

最后呢,又找到了一些敏感路径,hm_ucenter 等等

9.png

一般自己有个习惯都要去github上找找源码,结果还真找到了,经过核实,路径确实一摸一样

10.png

然后将源码下载下来,发现还有还有个adminsystem目录,下面还有很多路径

11.png

经测试,我们当前用户的菜单栏 只有寥寥几个功能,下图这是普通用户菜单栏

12.png

而我们直接访问刚刚源码泄露的管理员菜单栏地址,所以是存在未授权访问

13.png

最后我们直接添加了一个管理员账户

14.png

然后注销普通用户,登录新建的管理员账户密码,无敌啊! 菜单栏多了起来! 后面通过网站管理设置 更换了logo ,, 采用的是冰蝎的马(因为有阿里云waf), copy 图片马的操作,得到了一个图片马,最后配合解析漏洞 终于getshell

15.png

16.png

标签: 后台组合拳getshell

添加新评论