某企业官网的一次渗透

信息获取

确认程序使用语言/框架

通过请求的 X-Powered-By 头和 URL 的来看,猜测网站环境为:php + apache并使用 thinkphp 框架进行开发

尝试

尝试使用 SQL 注入

尝试多个传参地址进行手动盲注，都失败，因为使用了框架的原因，可能过滤了大多数比较低级的注入

尝试 XSS 打后台

无奈发现网站中所有表单竟然都不能真实提交

尝试历史 thinkphp 漏洞

基本没有能利用到这个网站中的，不知道是thinkphp的版本问题还是…

换种思路

根据 thinkphp 默认路径尝试获取日志

发现网站竟然忘记关掉 debug !!!!!!,所有的SQL语句都暴漏了

根据猜测得知后端日志地址为 URL/Runtime/Logs/Manage/18_09_09.log

翻了翻,暂时没发现什么有用的东西

尝试写脚本爬取所有日志，一点一点筛查，发现并没有改密码的SQL

弱口令

在日志中发现了几个登陆的用户名，经过简单尝试发现，其中一个账号的密码竟然是简单的 admin

真是白费了这么多功夫

结果

成功拿到后台,点到为止,也没有继续进行 getshell 什么的

总结

1. 上线千万别忘记关闭 debug
2. thinkphp 的程序建议简单修改程序,把index.php 移入 Public 文件夹中
3. 加强密码管理,不要存在这么简单的密码
4. 日志目录不要给可访问权限
5. 尽量不要暴漏程序使用的语言/框架

来源：https://hooklife.me