记一次走弯路的渗透测试

一个风和日丽的下午，正准备开启下午的学习模式，领导忽然给我给我说，来活了，拿权限。

话说就给了一个门户，又是某个单位的，哎，看到门户就头大。

看了一下指纹，啥也没有。

随手在域名后面输了一个目录，发现竟然报错了，准确的说应该是换ThinkPHP的Debug页面，但是估计开发人员把特征隐藏了，导致指纹识别不出来。

好家伙，版本出来了，是5.0.9的，那就直接拿这个版本的RCE去打，不直接结项了吗？心里一阵窃喜。

先执行phpinfo，发现可以执行成功

那直接上传马子，应该就成了。正当我把马子写好直接上传的时候，发现怎么也不解析。于是我以为是有设备拦截，换了一个免杀马，结果仍然是一样的，访问马子的路径，就直接跳转到了Debug页面。

我想到可能是PHP开启了disable_function限制，我去phpinfo看了看，果然，常用的可执执行命令的函数都被禁掉了。

而且PHP版本为7，现在是真的没辙了（啊啊啊啊啊，心里有一万只神兽路过……）

接着我仔细看了一下函数，发现有一个包含类的函数“think__include_file”没有被禁掉，那么就抱着试试的心态去试试吧。先来包含一下日志，竟然包含成功了，在日志中看到了数据库的相关信息，包括库名、内网地址、后台管理路径。

nice，那我往日志里面写马子，直接访问日志，总能解析吧。带着这个想法，我尝试了一下。运气很不好，马子是写了，但是写的密码是字母，忘了带引号（呜呜~）。这个日志只有当天一天有，先前的日志都被删了，也就是说，我第二天的话还有一次机会写，那就等第二天吧。

手动分割线

第二天……

继续写了马子，这次没问题了，传上去，仍然解析不了，访问后是日志的页面，纳尼？？？？这是怎么肥四？我这次马子写的没问题啊。后来发现有设备在拦截我的马子，虽然我的马子做了免杀，但是还是被s了。

用Thinkphp这条路看来是走不了了，放弃（再次头大）。我把头一天发现的后台地址访问了一下，长这样。

随手试了一下弱口令，竟然成功了进去了，开心到起飞。

常规操作，一个功能点一个功能点看，终于发现了一个上传

赶紧抓包试了一下，发现返回了路径。尝试了一下txt可以传，那就直接传php的吧。本来我还用的免杀的木马，因为在日志那块儿都被s了，后来我又尝试了一下最普通的一句话，发现直接可以传成功。

拿上我的蚁剑，直接连接成功。

至此，项目完成。后来询问网站的运维才知道，前端那边用了设备，但是后台这块儿没有添加到设备中，因此后台的上传可以直接用最简单的一句话。但是项目中给我的一个教训就是，既然有另一棵树可以选，就不要一棵树树上掉s。

原文始发于微信公众号（雁行安全团队）：记一次走弯路的渗透测试