从代码审计到拿下某菠菜客服站

给的目标只有一个后台系统登陆页面。上去就是一个弱口令怼他，但这种菠菜站基本不可能。

这时候就要体现信息搜集的重要性了，毕竟渗透最重要的就是信息搜集，废话也不多说，这个过程有点漫长，直接上主菜吧

正文

利用fofa、shdan、微步、超级ping进行域名查ip，以及ip反查域名。得到其中一个客服站

该站有存储型xss，打进去后返回的全是安卓手机，遂放弃。直接套客服话，有点久远这里就没得图了，通过客服给出的信息，直接批量扫c端同宝塔端口。再ip反查域名得到另一客服站

通过目录扫描，发现有install.php文件。

好家伙，直接告诉了我是什么客服系统，google一搜，开源的，直接下下来审计一波。

放入seay自动审计一波，打开一看，经验多的一看就知道是thinkphp框架。根据安装教程，得知此系统需要绑定到public目录，根据thinkphp的路由规则，web能访问到的目录只有application了。

审计过程有点漫长，此处省略。直接上找到的漏洞函数。通过全局搜索upload，发现该函数存在一个黑名单过滤。该函数以文件名中的点来分割名字并存入数组中，且以数组的第二个为后缀。即当文件名为index.php时，ext=php，但php在黑名单中;此时我们传入一个index.w.php文件，ext=w，以此来绕过黑名单

根据thinkphp的路由规则，该函数位于application/admin/controller/Event.php文件中，对应的web路径为/admin/event/uploadimg

我们可以构造一个本地的文件上传，并用burp抓包post到该路径

<form action="http://domain.doamin/admin/event/uploadimg" method="post" enctype="multipart/form-data">


    <label for="file">Filename:</label>
    <input type="file" name="editormd-image-file" id="editormd-image-file">
    <br>
    <input type="submit" name="submit" value="submit">
</form>

可以看到成功上传过去，此时用蚁剑连接，成功getshell。

进去一看，好家伙，一堆站点。

去执行命令是发现输入什么都返回ret=127,后面想起来宝塔的站基本都禁用了很多函数

这里我们直接可以用蚁剑的disable_functions插件绕过执行命令限制

后续

因为该机子为vps，内网不打，直接上了beef去探测管理员的真实ip，为之后的钓鱼做准备。