實戰|授權項目Getshell過程
- 2019 年 11 月 20 日
- 筆記
前言
在這裡呢有一些話想跟大家說一下,發表的文章中,有些地方只是為了給大家提供一下思路,因為也是工作中的項目,我只有什麼方法都去嘗試,有些朋友可能覺得我發的文章弱口令居多,但是有沒有想過現實中確實存在很多管理員使用弱口令。而且我比較喜歡收集別人的常用密碼,現在光我自己收集的一個密碼字典都有1W+。或者大家想看哪種類型的技術文章可以在公眾號留言,或者想看漏洞復現之類的。後續也會更新過waf的文章。看文章最重要的是學習文章裡面的思路。
![](https://ask.qcloudimg.com/http-save/6666590/jxjgrqkt73.gif)
打開目標站點
![](https://ask.qcloudimg.com/http-save/6666590/ckrgpftc0y.jpeg)
在這裡我們要做的首先就是對目標站點進行資訊收集(我們這是指定這個站),還是開始最常見的手段我們從資訊收集開始吧,打開前端地址探測 雲悉查一下
![](https://ask.qcloudimg.com/http-save/6666590/kth0ryzh5z.png)
查下開放埠,目錄掃了沒啥就不截圖了
![](https://ask.qcloudimg.com/http-save/6666590/qhyztydavb.png)
在URL之上修改個字元,得到報錯返回資訊
![](https://ask.qcloudimg.com/http-save/6666590/to3ubl9rxh.png)
得到的資訊:
採用的CMS:織夢CMS(雲悉提示)
PHP版本:php/5.4.45 (雲悉提示)
作業系統:Linux
Web中間件:Apache tomcat/8.5.37
繼續看前端,一個登入口,還能註冊,先註冊一個試試
![](https://ask.qcloudimg.com/http-save/6666590/j0fsjlxw55.png)
![](https://ask.qcloudimg.com/http-save/6666590/id3xypqxm1.png)
這個企業聯繫人跟跟企業名稱是沒多大用處,相當於任意註冊用戶,我們登入試試。
![](https://ask.qcloudimg.com/http-save/6666590/7de42gtesu.png)
其實這裡測試過是存在越權的(可以修改別人的綁定手機號等),但是意義不大,前台存在反射型Xss(這個過程就不累贅了)
![](https://ask.qcloudimg.com/http-save/6666590/3ci2ygx76l.png)
逛了一下後台,發現一處上傳點,是上傳身份證的
![](https://ask.qcloudimg.com/http-save/6666590/0mctui4jdu.png)
我們上傳一個腳本試試,看效果
![](https://ask.qcloudimg.com/http-save/6666590/395906gp9h.png)
我用的是冰蠍的一句話,選擇文件時剛點擊確認就提示格式不正確,明確這是前端校驗了,在本地把一句話木馬格式先修改成XXX.jpg然後上傳抓包修改文件名問xx.jsp,操作一下
抓包
![](https://ask.qcloudimg.com/http-save/6666590/bhh8kd1sb0.png)
修改文件後綴然後放行試試
![](https://ask.qcloudimg.com/http-save/6666590/4h1k3p1vbp.png)
此時提示修改成功(我們上傳成功了)
![](https://ask.qcloudimg.com/http-save/6666590/kly7qiv03g.jpeg)
![](https://ask.qcloudimg.com/http-save/6666590/d95r0hiece.png)
因為第一次做的時候上傳了,然後提示修改成功,我們看下地址,然後使用冰蠍連接一下看下許可權
![](https://ask.qcloudimg.com/http-save/6666590/w4qsnfqgqp.png)
冰蠍連接成功查看許可權
![](https://ask.qcloudimg.com/http-save/6666590/rxhol2q5hw.png)
已經是root許可權了,因為客戶沒要求做內網滲透就沒繼續做下去了,希望幫到剛入門的大兄弟們。