0x00 前言
幫朋友之前拿的一個站,有點久了沒有完整截圖,簡單記錄一下。
0x01 基礎信息
操作系統:win
集成環境:phpstudy
端口開放:82,3306,3389
有phpmyadmin
php框架:thinkphp 3
源碼一套
tp開了報錯,有網站絕對路徑信息
0x02 嘗試
拿到源碼,代碼審計發現了一個前台文件上傳,一個后台登陸框的注入
文件上傳把shell上傳上去,訪問報找不到控制器
猜測是被殺了或是沒有創建成功
換了免殺馬依舊一樣,這個點暫時放棄,沒弄明白。
由於源碼比較簡單,很多功能都在后台,只能把目光放在后台登陸框的注入了
常規思路,注出管理員賬號密碼登陸后台,但后台能拿shell地方也只有那一個上傳了(有源碼)
換思路利用phpmyadmin,直接嘗試phpmyadmin弱口令root/root,登陸不進去(后續可以爆破)
通過注入發現mysql的本地用戶是root,注出的密碼解不出來
mysql版本為:5.5.53
phpstudy的mysql secure_priv 沒改過默認就是NULL,udf啥的別想了
0x03 突破
重新回顧有的信息:
- 一個注入,支持多語句
- mysql外連
思考:如果可以外連上去,那么就可以嘗試用general_log_file直接getshell了
通過注入修改user表允許外連的host為%,修改密碼為root
但這樣做需要重啟mysql,但可以一試,尚有一線生機
很幸運,修改第二天再試發現可以直接連進去了
下面就是常規操作了
administror權限,直接添加了一個用戶上去
最后就是3389登陸服務器了:
0x04 總結
多嘗試總沒錯,思路要打開