前言：上個月月初開始，在那些項目結束之后進入了挖洞時期，每天的日常工作就是挖洞，除非有臨時的項目才會停下，最近在整理報告，發現了這個站，還是挺有意思的。

信息收集

從fofa上找到了這個站點，叫做fastadmin，是基于Thinkphp5和bootstrap開發的后臺框架，常規思路找一下后臺，根據經驗，沒意外的話php的站點基本都是根路徑后加個admin就可以找到了

getshell

常規手段弱口令先打一波，不行再試試SQL注入
弱口令admin/123456成功進入后臺
因為結合了tp5框架，想到可能可以用tp5的RCE直接命令執行，再利用file_put_contents寫入shell，就直接來試試

沒有成功…
應該是因為不是純tp5框架二次開發的，所以打不通，而且tp5的RCE洞網上分析文章到處飛，估計開發應該也已經修掉了，那就只能另外找口子了
翻了一翻可以上傳文件的點很多，試了其中一個，分類管理處可以添加品牌，并且有兩個上傳的點

嘗試上傳一句話，直接以php結尾，上傳失敗，常規繞過手段，修改content-type為image/png,成功上傳

shell傳上去就好辦了，直接命令執行列一下目錄，不出意外失敗了，應該是禁用了命令執行函數

看一下phpinfo，發現存在fpm/fastcgi，可以借助這個點繞過disable_function，達到命令執行的目的，再看一下disable_functions里禁用的函數方法，掃了一眼我常用的都在里面了，就不細看了，想辦法繞過就完事了


再繞之前先用蟻劍連接一下，可以翻目錄，那就不要改馬來繞過目錄翻閱限制了，先找到php-fpm配置文件的位置，從前面可以知道php是7.2版本的，這臺服務器上有好幾個版本的php

上圖可以看到監聽地址為/tmp/php-cgi-72.sock,由于此處的listen并不是一個具體的端口號，沒有辦法使用遠程攻擊tcp模式的php-fpm來執行命令，也沒辦法使用SSRF結合Gopher協議攻擊本地的php-fpm，因為兩種攻擊手法都是利用tcp模式，那么只剩下最后一種利用手段了

攻擊unix套接字模式下的php-fpm，unix類似不同進程通過讀取和寫入/run/php/php7.3-fpm.sock來進行通信，必須在同一環境下,通過讀取/run/php/php7.3-fpm.sock來進行通信,沒辦法進行遠程攻擊
直接利用蟻劍中的插件，找到sock文件的絕對路徑，成功上傳

成功上傳了一個.antoproxy.php文件到shell所在的目錄下,修改一下shell的連接地址，默認密碼為ant

并沒有成功，暫不清楚是什么原因，打php-fpm這條路失敗了，看來需要換個思路了
想起了之前比賽用過的利用UAF腳本來繞過disable_funtion,可以從Github上對應的地址下載腳本進行手動上傳，也可以用蟻劍里的插件直接繞過，這次選擇了Backtrace UAF,該漏洞利用在debug_backtrace()函數中使用了兩年的一個 bug。我們可以誘使它返回對已被破壞的變量的引用，從而導致釋放后使用漏洞
由于涉及pwn方面知識，web狗就不深入研究了，同樣直接利用插件，成功執行命令

到這里這個站就差不多了，也不算是特別難，想到了對應的點就拿下了

后記

在整理報告的時候重新看了一下這個站，發現了一個最致命的問題，web管理界面直接給了一個文件管理的功能，能任意文件進行上傳，這不是能進后臺就能拿shell么，翻了翻目錄還有一些別的站搭在這個服務器上，心真大啊…

最后

關注私我獲取最新【網絡安全學習資料·攻略】

總結

以上是生活随笔為你收集整理的【安全漏洞】挖洞小记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。