实战绕过宝塔PHP disable_function 限制getshell
一、这次做的目标站点是一个某XX站点,通过前期的信息收集,可以发现该站点是由宝塔(一般根服务器开放端口888、8888和报错界面判定)+ShuipfCMS框架搭建的
端口信息
后台
二、默认的ShuipfCMS系统后台访问http://www.xxx.com/admin/会自动跳转到后台,但是这个站点感觉是被二次开发过的,站点后台和前端页面不在同一个子域名下,该后台还是通过收集子域名得到的,访问某xxx.xxx.com会自动跳转到后台登录页面。
三、这里想着尝试绕过验证码来对后台用户名密码进行密码修改,可是失败了,于是就手动尝试了几个弱口令,当输入admin/admin123竟然进去了,在这里我只想说运气太好了。
登录
四、寻找后台上传点,友情链接,编辑文章处尝试了一下上传,发现都是使用白名单对文件后缀过滤
上传
于是继续找上传点,最后在界面-模板风格-模板管理功能点上找到了一个任意文件上传的地方
模板
webshell
五、使用链接工具链接webshell,但是无法使用命令行和查看其他目录文件
这里猜想
应该是对用户访问目录权限进行了限制和php,disable_functions禁用了一些函数,写入php测试语句查看禁用了哪些函数
1、Bypass disable_function
php测试语句:<?php phpinfo();?>禁用的函数:passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv
phpinfo
尝试绕过disable_functions,在这里使用了很多方法没有绕过,最后使用蚁剑一个大佬写的绕过disable_functions插件才能绕过的,具体操作步骤如下:
选择Fastcgi/PHP-FPM模块,输入FPM/FCGI模块绝对路径,其他默认即可
点击开始,会在存在后门文件的目录下.antproxy.php文件
用蚁剑链接这个文件,密码为你之前上传一句话木马的密码。
2、Bypass 目录限制
在webshell后门文件目录下创建一个名为.user.ini的文件,即可访问其他目录内容如下:open_basedir=:/
六、这种方法只能在几分钟内可以使用cmd,之后就不能使用,具体原因我也不太清楚,所以我们要使用公网的一台VPS服务器,用来反弹shell,后续的步骤全都在VPS上操作。
注:后续尝试使用脏牛,SUID,数据库等提权方式都是以失败告终,最后还是放弃了,可惜没有拿到root权限
实战绕过宝塔PHP disable_function 限制getshell相关推荐
- 实战|记一次绕过宝塔防火墙的BC站渗透
0x00 信息收集 由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息 这是一个查询代理帐号的站 url输入admin 自动跳转至后台 看这个参 ...
- 实战绕过WTS-WAF的SQL注入
实战绕过WTS-WAF的SQL注入 1.前言 2.测试流程 2.1.发现漏洞 2.1.1.正常页面 2.1.2.WAF警告 2.1.3.非正常页面 2.2.判断字段数 2.2.1.非正常页面 2.2. ...
- 绕过宝塔禁止的php函数,宝塔disable functions函数全被禁命令执行+加域服务器如何无限制执行命令...
本地搭建实验环境时遇到了不少小问题 实验环境2008 R2 宝塔搭建的IIS discuz3.2X 手动上传shell 冰蝎连接 (ps:有表哥使用冰蝎的时候提示文件存在但是无法获取密钥,解决办法,使 ...
- php绕过宝塔,一句命令绕过宝塔面板强制绑定账号
现在新版本的宝塔面板强制绑定宝塔官网账号,否则就无法继续使用面板.网上绕过强制绑定账号的方法也很多,但是都显得比较麻烦,不符合宝塔面板针对小白用户的定位.因此我总结了只需要在SSH输入一句命令即可. ...
- 遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...
# zTian.red:绕过卡巴斯基.360安全卫士.Windows Defender动态执行CS.MSF命令... 测试目标:Windows Defender.卡巴斯基.360安全卫士极速版 系统环 ...
- 实战绕过两层waf完成sql注入
更多黑客技能 公众号:暗网黑客 文章来源:https://lipeilipei.top/ 以下内容仅作为学习研究,禁止用于违法犯罪活动,由此产生的法律风险自行承担. 某网站存在一处sql注入漏洞. 在 ...
- 过云锁php木马,绕过waf的另类木马文件攻击方法
很久没写文章了,继上次发先文章到今天已经很久了:很久没写文章了,继上次发先文章到今天已经很久了:今天突发异想:因为之前打了西湖论剑,遇到了宝塔的waf,最后也是过去了,便觉得另类的攻击方法值得写篇文章 ...
- 2020php木马文件,绕过waf的另类木马文件攻击方法
$path ="/xx/xxx/xx/1.php"; $str= file_get_contents($path); $strs = base64_decode($str); $s ...
- 渗透测试学习10:各类实战性点
目录 一.基于phpmyadmin的攻击 简介 入口寻找 版本判断 登录口令爆破 万能密码漏洞 getshell 获取物理路径 常用方法获取shell 日志getshell 导出shell 二.php ...
最新文章
- SharePoint 2013 配置HTTPS(SSL)
- Python- 反射 及部份内置属性方法
- Girton events
- mysql 命令 _mysql 命令
- 『ACM--数据结构--字典树』信息竞赛进阶指南--Tire树
- Locust学习总结分享
- jzoj6451-[2020.01.19NOIP提高组]不幸运数字【记忆化搜索,数位dp,高精度】
- java sleep方法_一文搞懂 Java 线程中断!
- 织梦手机软件应用app下载排行网站模板
- 5G边缘计算:开源架起5G MEC生态发展新通路
- 华为热设计工程师待遇_沃得分享 | 华为校招青睐哪些江浙沪高校?
- Python+pandas统计每个学生学习慕课总时长
- Oracle 开窗函数--转
- Kanban VS Scrum:哪个是最好的敏捷项目管理框架
- 虚拟化平台cloudstack(4)——几个异常
- Element Ui 关闭对话框清空验证消息,清除form表单的操作
- 此版本的visual studio无法打开下列项目_深度学习实现高精度钢琴曲转谱Piano transcription项目简明使用教程...
- TIA 和step 7硬件更新网址汇总
- 数学建模(一)—— 人口增长模型的确定
- LM2596S-ADJ DC-DC降压芯片使用