记一次文件包含之“梦回A9大户”

admin 2024年4月24日08:31:02评论25 views字数 1054阅读3分30秒阅读模式


背景

躺在床上刷着朋友圈,目光忍不住背这离谱的广告标题所吸引,并忍不住点进去看了两章,提示我余额不足要求充值。

不得不说书城是懂得拿捏人性的,看到一半这感觉像是做到一半戛然而且,今天就算拼上我这微薄的积蓄我也要看爽。

但是随之而来的是充值失败的信息,第一次心动,就这样让我失败吗。不行,起床打开电脑行动!


渗透过程

小程序抓包获取到域名,浏览子域名后发现一个简陋的登录框,输入后缀后发现thinkphp的报错页面。


那也是感情好,直接工具开凿。

工具链接:https://github.com/bewhale/thinkphp_gui_tools

?s=index/thinkLang/load&file=/etc/passwd   文件包含?s=/admin/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1               远程代码执行


验证后发现数据库外网链接不上,但文件包含,任意命令执行均存在,在phpinfo中能看到系统命令相关函数被禁用了,尝试了几个工具也执行不了命令。

尝试传马,上传后发现并不解析,推测是有东西拦了,随后在其他端口上发现宝塔页面。

尝试对木马进行变形,但还是被拦。换一条思路,因为站点存在文件包含漏洞,所以只要上传一个带木马图片,然后对其进行包含就行。但是在小程序端没有发现上传点,遂瞄准后台。

随便看了后台的两个书城公众号,发现粉丝都比我多,这样的公众号他这里还有几百个,每天都在躺着挣钱。

说回正题,上传图片马后,查看图片链接,拼接为绝对路径后尝试包含图片马。

copy 1.png /b + 1.php /a 2.png  制作图片木马方法

web访问一下成功包含。

Bypass-Disable

宝塔页面赫然出现。

php-fpm 相关文件 /www/server/php/72/etc/php-fpm.conf

listen 用于指定 PHP-FPM 监听的地址和端口或 Unix 套接字路径。

填上fpm地址,执行系统命令,success。

由于是目标在阿里云,暂不进行提权操作,对后续操作感兴趣的师傅可以阅读下面的文章。

https://mp.weixin.qq.com/s/5kLMKaUOKtBDtOq58Oxi_Q

了解宝塔阅读以下文章。

https://blog.csdn.net/milu_sec/article/details/135319567

找到数据库链接的相关文件。

找到控制余额授权的相关参数,emmm距离a9大户又进了一步。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月24日08:31:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次文件包含之“梦回A9大户”https://cn-sec.com/archives/2684068.html

发表评论

匿名网友 填写信息