thinkphp的渗透测试项目 利用sql文件下载获取后台权限



    前不久,金融机构和GOV的新项目让我难到自闭了,1个月就只挖了1个弱口令。针对我这个

天然的发展五六年的见习生而言,确实是有点儿伤害人。得到检测区域明细单后,最先用脚本

制作获得了下每个子站的文章标题,基本上全部都是XX管理信息系统。网页检查后,每个子站

也如出一辙,纯登录系统,带短信验证码。这种系统软件基本上全部都是jsp写的,逮住了2个

沒有短信验证码的小宝宝,几番暴力破解密码,小宝宝对我说:不要爱我,没结论。又看到了

2个站回到的Set-Cookie头:rememberMe=deleteMe;很显著,它是ApacheShiro。打过这波

exp,沒有反映,舍弃。搞了3天啥都没搞出来,和女友去旅游散散步,還是好开心。
 
 
检测区域内有6个门户网,在其中4个静态数据站,也不知道会不会伪静态,没拿下来,也

有2个信息内容站。一个是java代码写的,一个是PHP写的。出自于对java代码的心存敬畏,

我对PHP下了手。是个伪静态站,URL是这种的:https://www.xx.cn/value.php/lists/66.html

,可是曝露的很显著。尝试复原为变量值,不成功,显示信息下面的图网页页面:



 
很典型性的MVC构架站,尝试指纹验证、访问 robots.txt,徒劳无功。瞅了瞅下前端功能模

块,除开访问 新闻事件便是下载文件,下载的文件夹名称根据了MD5hash,舍弃任意文件

下载。没什么别的的功能模块点了,啥都无需思考了,扫网站文件目录。
 
 
扫上了supposer.json、supposer.lock、.htaccess及其rteamde.Md。前2个是.infomaya软件

包管理工具的资料,.htaccess是Apache的环境变量,可以直接下载有点儿怪异。重中之重

就在rteamde.Md了,检查获知此cms源码名叫PCCAS,根据ThinkPHP5.1开发。百度了一

下子,并沒有发觉PCCAS的程序代码,也并没有有关系统漏洞信息内容,过于小众了吧。

之前也见过许多 鉴别不出来的cms源码,很有可能有些人便是喜歡用冷门cms源码?百度搜

索啥也没找到,Google也不必说了,我们中国人自个都用的很少,哪里有老外去关心这小

cms源码。又去仔细地地访问 了下载下来的资料,supposer.json里全部都是些开源系统

部件的信息内容,胡编乱造,又去瞅了瞅下rteamde.Md。里边给了后台管理系统页面截图

的详细地址,我进不了后台管理,看一下后台管理长什么样子不过分吧嘿嘿。拷贝截屏详

细地址在打开浏览器,界面挺漂亮的,细心再看一下,看到了YZNCMS几个字。百度了一

下子,找到gitee的新项目详细地址。好家伙,rteamde里提及是根据ThinkPHP5.1开发的

,实际上是根据YZNCMS3次开发设计的。可以直接去找TP5.1的RCEpayload,没什么反

应,可能是被修补了。瞅了瞅下YZNCMS的文件目录构造,和TP没什么不同,根据浏览

程序代码确定RCE被修补了。可是我发现1个有意思的资料——yzncms.sql,它是MySQ

L的备份数据。尝试在网站上浏览yzncms.sql,404页面。更名为pccms.sql,弹出来了下

载框,30M,有机会。
分享: