一次某系统的后台拿shell过程

0x01 前言

这个后台是一个表哥给我的，然后作为菜鸡的我去试着弄了一下，搞下了，就分享一下思路，文章很菜，希望各位大表哥手下留情，别喷~

0x02 测试开始

首先，后台界面是这样子滴(已处理，若文章漏码请告知~)

我先去云悉对这个站做了一些简单识别,得到结果如下图

大致猜测是由Linux + Apache + Mysql + Php搭配的。但是Apache没给我显示他的版本，不知道是否存在解析漏洞。于是回到了后台，去研究他的上传文件的功能。

他的这个系统很多地方存在上传点，下图就是一个上传点

他这里可以支持压缩包的格式并且自解压，于是我就想到将木马放到压缩包内然后上传这个压缩包，使其自解压，将木马成功上传到服务器。然后操作结束后，的确是上传成功了。然而人生就是那么大起大落，并没有成功的拿下shell，为毛呢，请看下面

首先正常上传

然后查看上传后的文件

给我加了个txt.... 心想加了个txt就算了，我打开试试看能不能正常访问

丫的还是个403拒绝访问。于是我又测试了几个后缀的文件名，发现pdf和jpg

等文档和图片类型是可以正常上传并且进行访问(pdf访问会自动下载)

不要在意打码的内容，他的确是可以访问并且显示了代码。。只要脚本文件他就会自动在后面加上txt，于是放弃上传压缩包的方法，直接硬干上传点，试试看能不能运气爆棚碰巧就是一个解析漏洞.... 然后fuzz了许久，还是不行(就不写上传的过程了，没成功写了浪费时间~~)

看样子他的上传是做了处理了，只能换思路了，然后这个时候逗神告诉了一个点，让我拿下了这个shell

他这里支持自定义html，用来做搜索引擎优化，于是可以试着写入php代码来获取shell，补充一下php的几种定义写法：

1.<? echo 1; ?> 
2.<?php echo 2; ?> 
3. <script language="php"> echo 3; </script>

第三种写法的标签是不是很熟悉。他不就是html中定义js代码的标签嘛~，那么可以试着用这段代码去试试，看能否被正常写入进去。

然后我就在自定义代码去写上了下面的代码，保存进去

<script language="php"> phpinfo();</script>

然后打开网站的首页

发现还是原网页，没有丁点的改变...... 。这个时候查看一下源代码

的的确确的代码是被写进去了，那么刷新一下试试

ok，是正常的，然后执行phpinfo的代码也已经不见了，已经当作php执行了

那么这个时候，构造一下一句话木马，然后进行连接操作。

结果是连接不上去，换了其他的刀也是不行的，那么这条路就断了嘛？shell就搞不定了嘛~

0x03 文件包含getshell

在前面有说到，他这个站有许多上传点，我随便找了一个上传点，上传了一个图片格式的大马，大马的代码如下：

<?php$test='大马代码';//访问这个文件大马的代码将被写入网站的根目录2.php下 （路径phpinfo得到）file_put_contents("/home/www/webdata/epage/2.php", $test);

然后通过一样的步骤用下面的代码

<script language="php">include '../ezfiles/2/1002/img/92/123.jpg';//上传的图片地址</script>

然后点击修改进行保存，在回到网页去刷新，然后在域名后面加上2.php去测试是否成功生成了这个文件

成功getshell~ 由于是linux，老夫实在没半点兴趣提权啥的..... 就把shell给那位表哥后 继续的去看妹子图了

0x04 结束语

这次拿shell也不是很难，都是常见的操作，low的一批~ ，渗透就是要把知识点进行串联起来，然后灵活的进行运用。各位大佬要是有啥高见欢迎私信交流，最后这句是重点，希望大佬们不要吐槽我这个菜鸡的文章~~  有啥意见私下地可以交流，

毕竟这文章纯属虚构，如有雷同纯属巧合

作者：最菜的KK

来源：ichunqi

本文作者：HACK_Learn

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/95274.html