一次BC站点渗透实录

初探

打开首页

简单信息收集:

IP地址：美国加利福尼亚洛杉矶
无CDN
中间件:Nginx
80端口直接突破，故未进行端口扫描

渗透思路

一般这种BC站点，有几种思路可以切入：

1）通过SQL注入查到管理员账号密码，扫描后台地址，进入后台getshell

这种BC站点一般是由thinkphp二次开发，很大概率会存在SQL注入

2）前台图片上传，配合IIS7.5与Nginx低版本解析漏洞

前台如果存在上传功能，此时可以寻找是否存在解析漏洞，直接利用解析漏洞getshell

3）存储型XSS盲打，进后台getshell

提交优惠申请，进行xss盲打，获取管理员cookie和后台路径，进后台getshell

4）后台弱口令 && 后台getshell

扫描到后台可以尝试弱口令爆破，爆破成功进入后台getshell

简单代码审计

通过fuzz测试，发现站点不存在SQL注入，也不存在解析漏洞，但是发现了后台路径 http://target.com/m/login/

后台限制了ip登录，伪造XFF ip为服务器ip可成功绕过：

此时我们可以爆破后台，或者通过前台XSS盲打来突破，幸运的是，我们目录扫描过程中发现了网站源码备份文件，因此我们选择优先审计源码

源码比较简单，采用MVC框架编写，代码量也比较少，我们很快就发现了一处文件上传功能

可以看出该处文件上传限制不严，并且没有做权限校验，任何人都可以访问这个接口，因此我们可以通过本地构造上传表单来getshell

构造上传表单：

<form enctype="multipart/form-data" action="http://target.com" method="post">  
<input type="file" name="file" size="50"><br>  
<input type="submit" value="Upload">  
</form>

上传图片马，抓包修改后缀为php

成功getshell

disable_functions限制了执行函数，无法执行命令

这里使用蚁剑插件绕过

至此本次渗透告一段落