0X01

因為最近吃雞被外掛打自閉了，所以準備也讓那些賣掛的體會一下什么叫做自閉。

昨天晚上爬了快1000個賣吃雞外掛的平臺

你們這些賣掛的，等我有空了一個一個捶。

發現大多數都是用的一套aspx的程序，可惜沒有源碼不能白盒審計，黑盒也找不到什么洞

只能找找軟柿子捏

昨天晚上一口氣錘了四個

基本上都有寶塔

不過php-venom 4系列加上配套的編碼器過寶塔穩得一批。

脫了褲子發現里面4000+孤兒

今天晚上又錘了一個吃雞外掛站

可惜尷尬的是沒有寫入權限

寫篇大水文記錄一下

正文

毫無套路進后臺

這個應該算是那種推廣站，里面什么都沒有，只有宣傳內容

管你是什么，照錘不誤。

看了一下是織夢二次開發的站

后臺很容易進，這里大家都明白什么意思。

玄學后臺

發現后臺刪了很多功能，特別是織夢的坑貨文件管理器

但是從經驗上來說很多這種二次開發的并不是真的把編輯器刪掉了，只是在后臺頁面不顯示了。

審查元素啟動

隨便找個鏈接改一下，替換成media_main.php?dopost=filemanager

然后點擊，果然找到了文件管理器頁面

上傳shell

本來以為就這樣結束了

結果發現雖然提示上傳成功但是啥都沒有

還以為是waf，就換了人畜無害的一張jpg上去也是啥都沒有

以為是目錄權限問題

找到session的臨時文件，上傳，照樣不行

圖就不放了，總之就是傳不上去

覺得可能是整站沒寫權限

隨手試試刪除功能，發現可以刪文件

emmmmm，所以到底是有權限沒有呢

一般來說沒寫權限的話也就沒有修改權限，也就是沒有刪除權限

想著是不是上傳功能壞了，換個方法getshell吧

全員gg

首先想到的就是改文件，里面放個shell

顯示csrf token不對

搜了搜怎么解決

發現是直接改check函數，第一句加上return

結果修改config.php 文件也彈這個錯誤

所以就陷入死循環。。。

改標簽也是一樣的錯誤。

然后試了織夢的各個0day，后臺代碼任意執行

提示執行成功了，但是要么404頁面，要么就是csrf token報錯

為啥老是csrf token檢測失敗，以前就沒遇到過這種問題。是我操作不對嗎？

如果有表哥知道為什么的話麻煩告訴我一下謝謝

柳暗花明

本來想想算了，然后出去吃了個飯。

然后想著既然是弱口令會不會有其他人的后門呢。

就想起來織夢有個自帶的后門查殺功能

同樣的審查元素，找到后門查殺功能，開始掃描

果然發現可疑文件

然后一看全是其他人的后門

隨便找一個，連接上去

getshell

最后

發現是星外，并且全站沒有寫入權限，難怪傳不上去。。。

翻了翻目錄，不能跨站，沒寫權限，無法bypass disable function

等于是啥都沒有。。。

但是神奇的是可以任意文件刪除

站就不刪了，保存一下證據，提交網警。

?

?0X02

首先打開網站我們可以看到他的炫酷界面

暖心公告

不要臉的宣傳詞

發現注入

基于tp3開發,后臺/admin

嘗試萬能密碼

提示密碼錯誤

嘗試admin admin888 提示賬號不存在

兩者回顯不同，考慮可能存在注入

無法利用？

burp抓包發送到repeater進行進一步測試

發現條件為真時返回status: -2,條件為假時返回status: -1

進一步印證了猜想，后臺存在注入

扔到sqlmap跑

無法檢測出注入，提示一堆404 not found

開始以為是cdn封鎖了sqlmap的流量，后來發現根本沒什么防護。。。虛假的cdn

于是考慮可能是cms自身過濾了一些東西

繞過過濾

經過測試發現只要出現尖括號就會返回404

可以用between來繞過

這時就繼續按照 條件真=> -2 條件假=> -1 來回顯

也就滿足了盲注的條件

忽然一想這個情景跟第五空間決賽的那道注入題一毛一樣

真返回一個頁面 假返回另一個頁面 出現被過濾字符返回其它頁面 并且要用between來繞過

CTF誠不欺我

所以只要在sqlmap的參數里加上--tamper=between即可

最后

數據庫里管理員密碼用的aes加密，沒有秘鑰，無法解密。

普通用戶登錄口被關閉，無法注冊也無法登錄。

除了脫出來一堆孤兒的信息其他也沒什么用。

打包一下證據，全部提交有關部門。

總結

以上是生活随笔為你收集整理的实战渗透 | 向吃鸡外挂站开炮的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。