實戰|授權項目Getshell過程

• 2019 年 11 月 20 日
• 筆記

前言

在這裡呢有一些話想跟大家說一下，發表的文章中，有些地方只是為了給大家提供一下思路，因為也是工作中的項目，我只有什麼方法都去嘗試，有些朋友可能覺得我發的文章弱口令居多，但是有沒有想過現實中確實存在很多管理員使用弱口令。而且我比較喜歡收集別人的常用密碼，現在光我自己收集的一個密碼字典都有1W+。或者大家想看哪種類型的技術文章可以在公眾號留言，或者想看漏洞復現之類的。後續也會更新過waf的文章。看文章最重要的是學習文章裡面的思路。

打開目標站點

在這裡我們要做的首先就是對目標站點進行資訊收集(我們這是指定這個站)，還是開始最常見的手段我們從資訊收集開始吧，打開前端地址探測 雲悉查一下

查下開放埠，目錄掃了沒啥就不截圖了

在URL之上修改個字元，得到報錯返回資訊

得到的資訊：

採用的CMS：織夢CMS(雲悉提示)

PHP版本：php/5.4.45 (雲悉提示)

作業系統：Linux

Web中間件：Apache tomcat/8.5.37

繼續看前端，一個登入口，還能註冊，先註冊一個試試

這個企業聯繫人跟跟企業名稱是沒多大用處，相當於任意註冊用戶，我們登入試試。

其實這裡測試過是存在越權的(可以修改別人的綁定手機號等)，但是意義不大，前台存在反射型Xss(這個過程就不累贅了)

逛了一下後台，發現一處上傳點，是上傳身份證的

我們上傳一個腳本試試，看效果

我用的是冰蠍的一句話，選擇文件時剛點擊確認就提示格式不正確，明確這是前端校驗了，在本地把一句話木馬格式先修改成XXX.jpg然後上傳抓包修改文件名問xx.jsp，操作一下

抓包

修改文件後綴然後放行試試

此時提示修改成功(我們上傳成功了)

因為第一次做的時候上傳了，然後提示修改成功，我們看下地址，然後使用冰蠍連接一下看下許可權

冰蠍連接成功查看許可權

已經是root許可權了，因為客戶沒要求做內網滲透就沒繼續做下去了，希望幫到剛入門的大兄弟們。