萌新发个水文,一些简单getshell流程,内容比不上各位大佬们发的, 只希望能多多点拨指教。
之前写了,原因是团队在做个JavaEE项目,上头要我们参考一个电商erp系统,目标05bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8W2L8h3!0Q4x3X3g2U0L8$3#2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0c8Q4b7U0S2Q4z5f1q4Q4c8e0g2Q4z5p5q4Q4b7e0q4Q4c8e0k6Q4b7U0g2Q4z5o6q4Q4c8e0N6Q4b7e0S2Q4z5p5u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5o6S2Q4z5o6k6Q4c8e0W2Q4z5o6g2Q4z5p5c8Q4c8e0k6Q4b7e0S2Q4b7e0q4Q4c8e0g2Q4z5f1c8Q4z5e0N6Q4c8e0S2Q4b7f1g2Q4b7V1g2Q4c8e0S2Q4b7f1g2Q4b7e0q4Q4c8e0N6Q4z5e0c8Q4b7U0g2Q4c8e0g2Q4z5e0g2Q4z5o6k6W2M7Y4m8Q4c8e0N6Q4b7U0y4Q4b7V1u0Q4c8e0N6Q4b7V1u0Q4z5f1k6Q4c8e0g2Q4z5p5q4Q4z5f1k6Q4c8e0S2Q4z5o6y4Q4b7V1c8Q4c8e0k6Q4b7U0g2Q4z5o6q4Q4c8e0N6Q4b7e0S2Q4z5p5u0Q4c8e0y4Q4z5o6m8Q4z5o6q4Q4c8e0k6Q4z5e0g2Q4b7U0m8Q4c8e0k6Q4z5p5c8Q4b7f1g2Q4c8e0S2Q4b7e0q4Q4b7e0S2Q4c8e0N6Q4b7V1u0Q4z5e0y4Q4c8e0k6Q4z5f1g2Q4z5o6c8Q4c8e0N6Q4b7f1c8Q4z5o6W2Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0k6Q4b7e0q4Q4b7e0y4Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5e0g2Q4b7U0c8Q4c8e0g2Q4b7e0c8Q4b7e0W2Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0g2Q4z5o6k6Q4z5e0W2Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0k6Q4b7e0q4Q4b7e0y4Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0S2Q4b7e0q4Q4b7e0S2Q4c8e0g2Q4z5o6g2Q4b7U0y4Q4c8e0S2Q4z5o6q4Q4z5e0c8Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0N6Q4z5o6u0Q4b7U0W2Q4c8e0g2Q4b7e0c8Q4z5f1q4Q4c8e0g2Q4z5e0q4Q4z5o6m8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0k6Q4z5o6y4Q4b7U0y4Q4c8e0N6Q4z5f1c8Q4z5o6m8Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0k6Q4z5f1g2Q4z5f1y4Q4c8e0S2Q4z5o6y4Q4b7V1c8Q4c8e0k6Q4z5p5u0Q4b7V1k6Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0k6Q4b7V1q4Q4z5e0m8Q4c8e0N6Q4b7e0m8Q4z5o6q4Q4c8e0k6Q4z5o6S2Q4z5e0k6Q4c8e0S2Q4z5o6m8Q4z5o6g2Q4c8e0k6Q4z5e0g2Q4b7U0m8Q4c8e0k6Q4z5p5c8Q4b7f1g2Q4c8e0g2Q4b7V1q4Q4z5e0y4Q4c8e0S2Q4b7e0q4Q4b7e0S2Q4c8e0S2Q4b7f1g2Q4b7V1g2Q4c8e0S2Q4b7f1g2Q4b7e0q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0N6Q4z5p5g2Q4b7U0m8Q4c8e0k6Q4z5o6S2Q4z5e0m8Q4c8e0W2Q4z5o6u0Q4b7e0y4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0N6Q4z5e0c8Q4b7e0S2Q4c8e0S2Q4b7V1g2Q4z5f1u0Q4c8e0S2Q4z5p5u0Q4b7e0k6Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0g2Q4b7V1u0Q4b7V1q4Q4c8e0S2Q4b7e0q4Q4b7e0S2Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.
首页有个登录页面,不过下面算叫社工了吧,假装成要买软件的顾客来考察,让客服开了一个帐号出来,这步就跳过了。
有了帐号,登录进去大概浏览了下那个网站,功能比较杂,前台用户并没有管理员权限。因为看到有商品图片了,想着会不会没有过滤直接能上传webshell,看来看去,就找到个图片管理。
里面有个上传文件的功能,可是图片没有回显绝对地址,而且变成个文件服务器,到另一个子域名去了。
访问的图片链接如下,不是直接访问文件地址。
f4aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8#2M7r3W2S2L8W2)9J5k6h3c8W2L8h3!0Q4x3X3g2U0L8$3#2Q4x3V1k6A6L8X3c8W2P5q4)9J5k6i4m8Z5M7q4)9K6c8Y4S2^5P5s2S2^5P5s2S2Q4x3U0k6S2L8i4m8Q4x3@1u0A6L8h3q4Y4k6g2)9K6c8s2S2^5P5s2S2^5P5s2S2^5P5s2S2^5P5s2S2^5P5s2S2^5i4K6u0W2K9Y4m8Y4
考虑这个子域名上(Server)会不会解析脚本,能不能顺利上传,也不知道绝对路径,再说也不是主站。
就先尝试下,抓包后改后缀为php,此时发现php文件是能够上传的,但仅有Response的数据并不能获知文件的web地址。
但是仔细观察这个image参数,感觉会不会能读取文件,测试后的确存在任意文件读取漏洞,00截断不管用,但是用../跳到上一层,可读出index.php代码。
又根据这个源码继续读出几个文件出来,比较关键的有数据库的配置信息,可惜这个还不能外连。
为了知道上传的绝对路径,看了index.php的逻辑,找到controller层的目录
传递进$m变量,进而加上m前缀就可以读出上传和读取图片功能的源码,如下图所示。其中显示图片只是简单的处理url参数并拼接固定的上传目录xxx,调用file_get_contents来echo输出
根据参数裁剪几位 再跟编号组合,取得最终的地址字符串。
浏览器访问下计算出来的路径,还好不像之前遇到的,这个能解析,接下来很轻松就能getshell了。
(前面两个请求500错误的是因为shell代码出错,本还以为不能用的,自己另外写了个php一句话就行了)
然后在shell上先做好一些清理工作,接下来想直接连mysql,看出当前用户权限不算大,但能看一堆看起来能外连的帐号,有部分的mysql5密码能解出,只有部分库有访问权限,这种情况下必要时候可以收集。
在服务器上找到nginx.conf,看了里面的虚拟路径映射,也确定主站不在这台服务器上
翻了翻也没什么好看的。
主站一堆增删查改的操作,也没明显的注入什么的,旁站查询了下也就多了些wiki站,没多少功能
简单扫下主站目录得出几个文件
但是后面在webshell中居然看到了那个图片服务器上存在.svn,进而猜想主站会不会也有。
可是无法访问svn文件,用源码泄漏工具也下载不了
然而在webshell打开svn文件,发现了一个可连外网的svn仓库地址。。。里面只有帐号名,不过配合之前的mysql.user等也好猜密码。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
