记一次简单的渗透(二)

关于OpenSNS的漏洞

前台RCE

payload

index.php?s=weibo/share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id[method]=-%3E_validationFieldItem%26id[status]=1%26id[4]=function%26id[1]=assert%26id[args]=jiang=phpinfo()%26id[0]=jiang

后台文件上传

模板处上传zip文件,直接将木马解压到 /Theme/ 目录。

后台RCE

后台任意文件下载

还有个后台任意文件夹的删除。分析可以参看我的另一篇文章。

信息搜集

fofa 上找站

漏洞是存在的

还是有disable_funcopen_basedir

php5 的环境,一些危险模块也是不存在的。

存在fpm/fastcgi

思路就是,借助其来完成bypass disable_func。

又看了一眼后台,弱口令进入后,通过文件上传植入木马。

在此处,解压路径是 /Theme/

GETSHELL

蚁剑连上后,

修改木马,来bypass open_basedir。

尝试去寻找 php-fpm 和apache的一些配置文件,寻找 fpm开放端口的情况,因为在尝试探测9000端口的时候,发现似乎并不开放。

从目录规则可以看出来是一个宝塔的面板。

进入 server/php目录

本站的环境是php5.6的,php-fpm.conf 如下。

此处监听的是 /tmp/php-cgi-56.sock

不同于以往的 127.0.0.1:9000 或者 0.0.0.0:9000

攻击tcp模式的方式显然不行,但是我们已经知道fpm 的 sock 文件的绝对路径。直接去交互他,或者用 unix:// 套接字的方式依然可行。可以直接用蚁剑

或者构造fsockopen这个函数去请求,可以参照newsctf中的一个题目,修改fpm.sock的地址就好。

蚁剑bypass成功后,修改数据中shell的脚本名字如下

然后打开终端,发现命令可以执行了。

参考

https://github.com/AntSwordProject/AntSword-Labs/tree/master/bypass_disable_functions/5

点击收藏 | 2 关注 | 1
登录 后跟帖