对于某刷单网站点的一次简单渗透测试|挖洞技巧

首先对域名ping得到一个加了cloudflare的地址。习惯性对域名/目录输入' 出爆出 ThinkPHP V5.0.23

其中SERVER_ADDR爆的一个内网ip，其它啥都没。也还是没真实ip

5.0.23有rec，对目标进行tp rce打提示宝塔防火墙拦截。

一边目录扫描，宝塔防火墙的威力显示出来，不到3秒挂掉ip。但还是扫到有个admin目录对应管理后台。输入http://xx.com/admin/ 在1-2-3倒计时后就一直反复跳转到百度首页。对页面禁止跳转，右键源代码后得知可能用的一款twothink程序改的。Github上找了圈要么tp5.07,tp5.11还没有5.23改。代码功力差不会审，决定先对网站进行黑盒测试。

注册账号，提示需要输入一个邀请码。防火墙原因没有选择爆破，盲猜10几次邀请码，在打算放弃的时候4位数字邀请码注册账号成功。

对数据传输交互处各种测试找到注入一个，但一些关键字拦截。ip又封了。想到前面后台这里一直反复跳应该有设置。先打xss看看。宝塔防火墙对<img>标签不拦截。

在burp拦截里找个post参数的地方不管3*7二十八插入再说。10几分钟后滴滴饼干来了～～

EditThiscookie修改PHPSESSID，还是反复跳转到百度页面。～～懵逼了一会伪造ip address修改为打到的ip成功进入后台。应该是在数据库里简单设置。如果后台访问ip是写在代码或防火墙里估计还得想其它办法。修改cookie的方法用hackbar也是不错的。

成功进入后台，宝塔付费waf+nigix原因导致内容和后缀出现php等关键字就会拦截。查资料看到某师傅的文章twothink后台文件包含。

把图片内容进行短标签处理，一句话用hex2bin编码。蚁剑也修改下成hex编码器。base64这些因为都在宝塔特征库里可能需要编码好几遍才过这里hex2bin一次就行。（具体特征库看宝塔waf规则）

图片上传成功后蚁剑内输入打到的管理cookie，提示成功。

上传大马发现目录不可写，原因

1:宝塔对php后缀进行拦截。这个(Apache)可以.htaccess   。(nginx).user.ini配置选择绕过。

2:宝塔防火墙对目录进行锁定或设置，比如可任意上传但有时间竞争upload目录1-3秒后删除。但宝塔对runtime/缓存目录下文件却可任意修改上传。但没鸟用，锁定public目录下你又访问不到。

phpinfo后得知使用php7.0用蚁剑插件进行反弹提权。

uname -an得内核3.10.0-957.21.3.el7.x86_64 ，根据内核版本打CVE漏洞失败。

安装宝塔时目标没有安装phpmyadmin，上传adminer.php对目标阿里云数据进行远程连接打包和程序打包。

后台看了下，真是暴力行业～。后面全部不兑现1个月不到6-7000万。这样的刷单网站程序还是相对简单的。

        由于本地效率太慢，把收集到的信息提交给了外地同行让他们继续水坑和挂马上线。同时网上同类程序被人批量打入后门。收集的号码前2天提示关机，后2天不提示。宝塔后台也再没出现搭建者登陆信息估计8/25日后住别墅去了。也就是说单子可能被更实力的劫了，作为个外行感叹同行抢单之激烈。喜欢的师傅可以点赞转发支持一下谢谢！