遇到某个站需要打包源码下来审计,然而过程却是非常的坑爹
目标站7.xx.com
然后服务器上一堆演示站,目测是个卖源码的:
1.xx.com
2.xx.com
3.xx.com
4.xx.com
5.xx.com
6.xx.com
7.xx.com
8.xx.com
9.xx.com
10.xx.com
11.xx.com
12.xx.com
13.xx.com
...
前面12个站均是弱口令进后台,都存在被后台拿shell的可能,然而事与愿违,宝塔的服务器,外加一个我不知道的防火墙,
对上传后缀进行了检测,这里可以使用 .ph换行符p 绕过,不过目标站并没有任意上传,遇到几个都是后台可以修改上传扩展名,于是乎,我添加上传后缀 .php 在上传PHP 后门,这里如果没有防火墙是直接成功的,然而为了突破防火墙,加个 .ph换行符p 的话,又无法突破程序自带的后缀检测机制。
第二个问题是对上传的内容进行了检测,拦截尖括号 <
检测到要么给你替换要么就直接拒绝连接,很恶心人。。。。连 phpinfo()
都直接拦截
一个站一个站的测试下去,终于找到一个 emlog 站,用户名通过前台文章页获取到,然而密码并不是弱口令了,通过社工得到后台密码进入。
然后拿shell就简单多了,后台-插件-安装插件-上传插件,然后直接访问插件地址中的后门 /content/plugins/live2d_L/test.php
插件可以直接去 emlog 官网的插件页找一个体积小一点的插件下载到本地,然后在压缩包中加入自己的后门就行,
这里成功绕过后缀名的问题,不过还遇到了文件内容检测,直接被拉IP,耽误了一些时间等IP恢复,后门去找一个免杀一句话即可解决。