声明：在本次渗透测试中，没有动任何数据，也联系了管理员

前言

本来，我是在看一篇科普文章的，作者提到了safe3这个漏扫工具，我就想想试一下这个工具如何，利用google hacking找了一个php的站，扫描完提示有可能存在sql注入，那还等什么就直接开始操练了。

开始注入

输入一个单引号，报错了，更具报错信息可以判断数据库类型是mysql。然后就是常规操作，判断字段数为8，然后只有第四个字段才会显示在页面上，如下所示：

继续查询了下数据库的版本，以及当前使用的数据库分别为：
数据库版本为5.1.48-log
数据库为qdm123287303_db
继续查询发现只有两个数据库，一个information_schema，一个上面提到的，管理员账户肯定是在上面那个数据库里，查询了一下：

http://xxxxxx/index.php?c=default&a=guanyuhuicheng&id=0%20union%20select%201,2,3,group_concat(table_name),5,6,7,8%20from%20information_schema.tables%20where%20table_schema=database()--+

显示有一个hc_admin表，这肯定就是存储管理员账号密码的表了，查询出来账号密码：admin~bee333a826ece70757dbcba4b7930471（Passw0rdhc）为了跑这个MD5值我还花了2块大洋。

后台是我一开始就扫出来了（先看看是否能找到后台是个好习惯），直接输入admin就会跳转到后台。直接登录

拿到shell

其实中间有个小插曲，我在扫目录以及sql注入的过程中，ip被临时屏蔽掉好几次，反正就是找各种免费代理继续整，要是有一个高质量的免费代理自动切换工具就太爽了（可能后面会考虑搞一个）。

老规矩，先找上传点，后台有一个产品图库这么个选项，其中就可以上传图片，先上传了几张正常图片上去看下路径，路径在前台对应有产品图库这么个选项，所以很好找，那就准备上传小马。

根据多次测试发现，后台应该是对上传的内容作了检验，那我就制造一个图片马上传呗：

copy shell.php/a+pig.jpg/b pig.jpg

cmd下执行上面的命令就会生成图片马，然后上传抓包，把文件名改回php，结果后台报错了，反正就是一大堆错误，还直接爆出了源代码，我以为没戏了就换了其他的后缀名试试，例如cer，也都不行

mark

有点心累，但还是要干，我回头来分析了一下上面爆的错误，看看有没有什么转机，结果还真被我找到了突破口，可以看到上面报的错误是imagecreatefromphp没有实现，我上传cer后缀的时候就是imagecreatefromcer没有实现，经过测试发现这个函数名就是

imagecreatefrom+后缀名

合法的函数应该是imagecreatefromjpg等等图片类型的，一开始的想法是能不能通过对文件名做手脚绕过这里，试了00截断等，无解。于是另谋出路，当我往下看报错信息的时候才发现，我的php文件应该是被传上去了，从上图我标记出来的地方可以看到。

后台应该接收了我的文件，只是想要通过我的文件创建图片失败了，因为相应的imagecreatefromphp没有实现，而且报错信息中甚至爆出了路径。于是乎菜刀连接之，结果直接链接被重置了！！！我的ip又被屏蔽掉了，看来服务器上还是有东西的。菜刀连接是不行的了，那我直接上传大马吧！

提权

webshell已经拿到，接下来就是提权啦，用nmap探测了一下服务器的操作系统以及端口，不知是namp误报还是什么的，反正扫出来操作系统是索尼的一款电视的品牌。。。（什么TV），但是更具前面各种信息，例如网站根路径可以知道是linux系统。

linux系统提权以前从没接触过，但是既然遇到了就看看吧，nmap扫描端口：

这些东西好像也没有什么可利用的，vsftpd也只有2.3.4可以直接提权，mysql数据库也不是root权限。

用nc反弹了一个shell,也执行不了命令….所以我就放弃了提权在这个过程中也学到了一些新东西，比如通过webshell来建立正向代理等等，后续可能会把这些知识点补充上来。

无聊

无聊的时候查了下木马，发现之前已经有很多前辈上来过了，有三个大马在上面挂着的，233333