建立在ThinkPHP的两个CMS系统后台的GetShell运用
ThinkPHP是为了简化企业级利用开辟和迅速WEB利用开辟而诞生的,因为其简略易用,许多cms都基于该框架改写。但是 Thinkphp在缓存利用却存在缺点,天生缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大的网安成绩。
0×01 情况搭建
对象
phpstudy
http://www.phpstudy.net/phpstudy/phpStudy20161103.zip
Jymusic cms
http://www.jyuu.cn/topic/t/41
xyhcms
https://pan.baidu.com/s/1qYhTKc8
搭建
装置好phpstudy,把jymusic目次下的一切文件及文件夹拷贝到phpstudy的www目次下,浏览器拜访http://localhost/install.php,而后设置装备摆设一下数据库信息便可。
别的xyhcms装置相似,这里不赘述。
0×02当地后盾getshell
Jymusic cms
先看一下管理员登录页面的源代码,看到焦点进口为ThinkPHP.php,找到并关上检查
发明利用缓存目次为Temp文件夹
关上Temp文件夹会发明有许多缓存文件,咱们随意关上便可看看,能够发明里面的内容有点像网站设置装备摆设信息,只不过是序列化后的成果
以是咱们在后盾的网站设置处拔出一句话,就会被ThinkPHP写入缓存文件。并且这个缓存文件的文件名都是固定不变的,这也是招致getshell的缘故原由。
胜利拔出后,咱们来运行一下phpinfo()函数看看,菜刀也能胜利衔接
xyhcms
xyhcms和Jymusic cms同样利用了ThinkPHP框架,这里不赘述,间接给出缓存文件的地位
xyhcms实在另有一个漏洞破绽bug,在模板管理处能够增加一个php后缀的模板,文件内容也未做任何检测过滤。上面是胜利getshell进程
0×03总结
实在如今许多小型网站都是基于ThinkPHP框架开辟的,许多都存在这类成绩。当你找不到上传点的时刻,能够尝尝这类办法。固然,确定有人会说,这个要后盾登录能力利用,你只是在当地复现,都没实战过,说个锤子。实在,我还真的实战过,只是不方便贴图,利用弱口令做暗码照样挺多的,以是锤子未必不可用。另有,有的网站,固然说你用很简略的办法getshell,然则实在能够研讨的器械另有许多,比如你getshell以后发明权限不敷,那就能够尝尝提权,例如用udf提权、利用mysql长途衔接联合sqlmap提权等等,固然有些办法很早就有了,然则并非每个人都邑,并且一些老的思绪另有可能启迪你新的思虑,继承加油吧!
ThinkPHP是为了简化企业级利用开辟和迅速WEB利用开辟而诞生的,因为其简略易用,许多cms都基于该框架改写。但是 Thinkphp在缓存利用却存在缺点,天生缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大的网安成绩。
0×01 情况搭建
对象
phpstudy
http://www.phpstudy.net/phpstudy/phpStudy20161103.zip
Jymusic cms
http://www.jyuu.cn/topic/t/41
xyhcms
https://pan.baidu.com/s/1qYhTKc8
搭建
装置好phpstudy,把jymusic目次下的一切文件及文件夹拷贝到phpstudy的www目次下,浏览器拜访http://localhost/install.php,而后设置装备摆设一下数据库信息便可。
别的xyhcms装置相似,这里不赘述。 内容来自无奈安全网
0×02当地后盾getshell
Jymusic cms
先看一下管理员登录页面的源代码,看到焦点进口为ThinkPHP.php,找到并关上检查
发明利用缓存目次为Temp文件夹
关上Temp文件夹会发明有许多缓存文件,咱们随意关上便可看看,能够发明里面的内容有点像网站设置装备摆设信息,只不过是序列化后的成果
以是咱们在后盾的网站设置处拔出一句话,就会被ThinkPHP写入缓存文件。并且这个缓存文件的文件名都是固定不变的,这也是招致getshell的缘故原由。
胜利拔出后,咱们来运行一下phpinfo()函数看看,菜刀也能胜利衔接
无奈人生安全网 xyhcms
xyhcms和Jymusic cms同样利用了ThinkPHP框架,这里不赘述,间接给出缓存文件的地位
xyhcms实在另有一个漏洞破绽bug,在模板管理处能够增加一个php后缀的模板,文件内容也未做任何检测过滤。上面是胜利getshell进程
copyright 无奈人生
0×03总结
实在如今许多小型网站都是基于ThinkPHP框架开辟的,许多都存在这类成绩。当你找不到上传点的时刻,能够尝尝这类办法。固然,确定有人会说,这个要后盾登录能力利用,你只是在当地复现,都没实战过,说个锤子。实在,我还真的实战过,只是不方便贴图,利用弱口令做暗码照样挺多的,以是锤子未必不可用。另有,有的网站,固然说你用很简略的办法getshell,然则实在能够研讨的器械另有许多,比如你getshell以后发明权限不敷,那就能够尝尝提权,例如用udf提权、利用mysql长途衔接联合sqlmap提权等等,固然有些办法很早就有了,然则并非每个人都邑,并且一些老的思绪另有可能启迪你新的思虑,继承加油吧!
本文来自无奈人生安全网