对理财资金盘的一次渗透测试 拿下后台权限

今日群里有个大佬私发杀猪盘给我,说她的朋友在这个平台上被骗了4W+,现在还能骗得这样一个人?可以先给我打一打吗?由于当时不确定是否能搞下来就没给她回信(其实已经看过了),不确定的事不敢轻易答应别人,万一搞不下去就“尴尬”了。随意注册的用户进去看了一下,界面大致如下,应该属于投资理财类的杀猪盘,就是利用各种诱骗手段让受害者到自己的平台理财的。

比如什么稳赚不赔,赔钱自掏腰包赔偿等等,有些受害人会先试着小额充值,前期肯定会让你赚(后台管理控制),也能让你提现,等你大笔充值后他们就开始“杀猪”了。他发送的是QR码,利用识别这个QR码就可以获得待检测的目标网址,并利用大小写简单地判断目标系统,结果发觉输入的路径并找不到,利用错误提示信息就晓得该源程序是ThinkPHPV5.0.10框架,该版本存在RCE漏洞。但是在检测中发觉func()、pastthru()、system()、shell_func()等命令执行函数受到了限止,猜测应该是用塔架搭建的,默认情况下不允许使用这些常见的危险函数,因此暂时无法直接对shell进行弹跳。由于这个原因,我们首先使用Getshell,然后利用执行下面的Payload编写一个PHP语句木马,并提示:Useoforudefinedconsdet__constFrant-assumes'__constFrant',但是实际上文件已经编写好了。


当我们使用中国菜刀连接时,如果出现“重设链接”或“超时”等情况,我们可以先在POST下验证这一语句是否正常,只要能获得phpinfo基本就没有问题,或者尝试使用一些代理节点。在浏览后台管理地址时出现:非法IP浏览:58.**.***.113,本以为系统管理员会利用X-Forwarded-And或User-Agent限止对后台管理的浏览,但经过检测后发觉没有一个是这样的,而且在后台管理我也被卡了很久!


最后,我们发觉config.php文件中的白名单限止了我们对后台管理的浏览,大致看一下系统管理员设置的白名单IP地址(香港、越南、菲律宾、法国),基本上可以确定为代理,而实际上,利用Web日志文件可以确定,因此,我们只需将本地/代理的IP地址添加进去,然后就可以浏览后台管理。用刚刚发觉的数据库用户密码,利用中国菜刀或phpmyadmin连接到alj数据库,然后在dl_user表中找到该网站后台系统管理员的用户密码,密码加密为MD5,但没有被解密。


在后台管理还可以执行系统命令之后,就可以继续执行后续的提权、打包源程序和数据,由于个人技术水平有限,对Linux提权不太熟悉,对这类源程序的数据也没有什么兴趣,所以就简单的清理一下日志信息,就到此为止!

分享: